IDOR漏洞挖掘技巧 越权漏洞waf绕过,如果可能,创建两个帐户,否则首先枚举用户。
2. 检查端点是私有的还是公共的,是否包含任何类型的id参数。
3. 尝试将参数值更改为其他用户id,看看是否对他们的帐户有任何影响。
分类: 技能树
IDOR漏洞挖掘技巧 绕过防火墙 bypass 403
IDOR 是 “Insecure Direct Object Reference” 的缩写,中文通常译作“不安全的直接对象引用”。发生在应用程序直接访问对象(如数据库记录、文件等)而不进行适当的权限验证时。攻击者可以通过猜测或操纵引用的参数,访问未经授权的数据或功能。
Read more
ipfilter IP地址白名单过滤器
ipfilter IP地址白名单过滤器,于是针对该场景于2022年8月hvv时开发了IP地址的自动过滤工具,并于2023年3月添加了微步自动化查询IP地址和IP属性【是否具备恶意标签】的功能,方便防守人员快速输出威胁IP话术
Read more
forensictools 数字取证工具包 应急响应工具
forensictools 数字取证工具包 应急响应工具,forensictools是一个专为数字取证而设计的工具包,提供了广泛的工具。其主要目标是简化用于进行取证检查的虚拟环境的创建。可进行二进制文件分析、Chrome分析、调式、事件日志分析、内存取证、邮件取证等
Read more
hfinder | 借助 Robtex 和 BGP.HE识别IP对应域名
hfinder | 借助 Robtex 和 BGP.HE识别IP对应域名,hfinder (Hosts Finder)主机查找器,借助https://bgp.he.net/和https://www.robtex.com/帮助从特定 ASN 或 CIDR 重新识别主机名。
Read more