文章内容需登陆状态才能查看，没有火线平台账号的用户请点击下方链接/扫码填写邀请码申请表进行申请 https://jinshuju.net/f/WWKSuQ 红蓝对抗之企业对外根域名资产收集 https...

web漏洞挖掘指南 XSS跨站脚本攻击 一、漏洞原理 1. 跨站脚本英文全称（Cross Site Scripting跨站脚本），为了不和css层叠样式表(英文全称：Cascading Style S...

web漏洞挖掘指南 SSRF服务器端请求伪造 一、漏洞原理及触发场景 web服务器经常需要从别的服务器获取数据，比如文件载入、图片拉取、图片识别等功能，如果获取数据的服务器地址可控，攻击者就可以通过w...

1、如何学习web安全？ 2、如何挖到第一个漏洞？ 我的答案是： 1、掌握最基本的信息收集技巧 2、理解http数据包 3、使用burp进行http流量的截断和重放 4、掌握最基础的漏洞测试技巧 当你...

web漏洞挖掘指南 前端跨域漏洞 一、何为跨域 1.设想一种场景，一个恶意网站上嵌入了一个iframe标签去加载银行的登陆页面，高度和宽度的设置和真实的银行官网一样，当用户访问恶意网站并登录时，攻击者...

漏洞报告 Acronis #1070533 Acronis True Image 2021 (windows) does not validate server hostname on a login...

白帽训练营，对Zone里面的文章进行主题分类，用于白帽子们的入门和提高。

漏洞报告 【 Recorded Future】Dom Xss 漏洞 https://hackerone.com/reports/1448616 【 U.S. Dept Of Defense】ADF F...

漏洞报告 Self- XSS 50$ https://hackerone.com/reports/1442017 Android应用漏洞 3000$ https://hackerone.com/rep...

漏洞报告 配置错误导致垂直越权 500$ https://hackerone.com/reports/1088159 Twitter XSS 5040$ https://hackerone.com/r...

漏洞报告 简单改ID越权250$ https://hackerone.com/reports/1124974 TikTok XSS 6000$ https://hackerone.com/report...

漏洞报告 微软和 GitHub OAuth 实施漏洞导致重定向攻击 https://www.proofpoint.com/us/blog/cloud-security/microsoft-and-gi...

漏洞报告 EC2子域接管 https://hackerone.com/reports/1296366 Flask session弱密钥接管用户 1500$ https://hackerone.com/...

漏洞报告 子域名接管 750$ https://hackerone.com/reports/1474784 挖洞技巧 SSRF读取元数据RCE https://cloud.tencent.com/de...

web漏洞挖掘指南 CSRF跨站请求伪造 一、CSRF的漏洞原理以及攻击过程 顾名思义，CSRF跨站请求伪造是一种伪造受害者的请求以达成某种目的的攻击手法，本质上我将其理解为攻击者像操控木偶一样让受害...

挖洞技巧 Practical HTTP Header Smuggling: Sneaking Past Reverse Proxies to Attack AWS and Beyond https:/...

漏洞报告 价值1.75万美刀的全回显SSRF https://hackerone.com/reports/1406938 TikTok SMB子账号接管 https://hackerone.com/r...

漏洞报告 【MariaDB】Grafana LFI注入 https://hackerone.com/reports/1419213 挖洞技巧 CVE-2021-44515是 ManageEngine ...

漏洞报告 自动填充导致信息泄露1900$ https://hackerone.com/reports/1083922 垂直越权 800$ https://hackerone.com/reports/1...

漏洞报告 【 Django】将潜在恶意数据反序列化为 RCE https://hackerone.com/reports/1415436 【IBM】通过用户搜索的 SQL 注入和明文密码 https:...