前言上篇文章的发布引起了很多读者的浏览，有很多读者也催更希望读到续集，作者也收获到读者的鼓励，说明这条路线对大家有帮助，是有意义的。所以，今天作者将继续阐述在审计Java代码时的思路。...

IDOR介绍IDOR在OWASP TOP TEN 之中排行第四，可见该技术对于安全影响非常广。IDOR轻则导致信息泄漏，重则可以提权。目前到多数文章案例只是告诉读者IDOR应该怎么做。其实IDOR更主要的是对于业务...

原文来自SecIN社区—作者：Zeva0x00 前言承接上一篇APP业务挖洞的碎碎念，此篇文章主要是针对小微信程序的漏洞挖掘，微信小程序默认是直接使用自己微信登陆的，我们对小程序的漏洞挖掘，关注点...

概述随着现在企业安全水平的提高，单独依赖常规主动扫描器AWVS、APPscan进行企业漏洞扫描越来越难挖掘有效漏洞，越权漏洞在大多数企业中比较常见，主动扫描器也难以挖掘越权等逻辑漏洞，这里给...

前言H5移动应用作为个人生活、办公和业务支撑的重要部分，也面临着来自移动平台的安全风险，不仅仅来自于病毒，更多的是恶意的攻击行为、篡改行为和钓鱼攻击。关于H5页面的安全测试，业务逻辑功...

本文通过谷歌广告中的视频制作功能，作者发现了Youtube私享（Private）视频图像帧的越权获取漏洞，利用该漏洞可以获取知晓视频ID号的任意Youtube私享（Private）视频的所有图像帧，从而可完整拼...

概述利用红日靶场四加vulnhub靶机，缝合靶场的学习记录，前期准备中记录了vulhub项目的漏洞复现学习。在学习环境中可以不断利用缝合这几种方式/环境进行学习--我是缝合怪！~Cybox-Web靶机-提权M...

背景企业数据包含着用户个人信息、隐私信息、商业敏感数据等，一旦泄漏，会给企业带来巨大的经济损失，甚至承担相关法律责任和巨额罚款。因此，如何保障企业存储的各类敏感数据的安全，成为企业...

一、背景Node-RED是IBM开源的低代码物联网编排工具，有广泛应用，包括研华WISE PaaS、西门子Iot2000、美国groov EPIC/groov RIO等工业IoT硬件也都预装了Node-RED。此外，它亦常被作为低代码开发...

越权简介：指应用在检查授权时存在纰漏，使得攻击者在获得低权限用户账户后，利用一些方式绕过权限检查，访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、...