Track 正式学员

yyd

0关注
1粉丝
4文章
返回网站首页

您已发布 4篇文章作品写文章

封神台Nacos未授权访问漏洞复现

Nacos未授权访问漏洞1.漏洞描述 Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。 该漏洞发生在nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果

 6个月前
 0 
 17 

广州 安恒 中高级渗透测试工程师面试分享

广州 安恒 中高级渗透测试工程师面试分享所面试的公司:安恒薪资待遇:14k,13薪、双休所在城市:广州面试职位:中高级渗透测试工程师面试过程:平常主要做web/APP渗透这块,也有几年工作经验,也做过红蓝攻防,这次面试也是重点考察web和APP的。面试官的问题:Q1:那先简单介绍一下自己。答:省略……Q2:那么你刚才说了平时会做一个 APP 渗透,那么你可以说一下现在你要做一个 APP 渗透,

 6个月前
 0 
 1344 

XSS挖掘实战-不太容易发现的XSS

1.项目背景介绍:这个一个邮箱系统的后台管理系统,这个已经被其他不同的厂商测试的很多次了,能发现的基本都被发现了,上有领导施压,为了完成任务,硬着头皮也得要找出问题了。#CTL{\n}2.找到一个能够输出XSS语句的地方,但是并不能解析,用了HTML实体编码。#CTL{\n}#CTL{\n}![](https://nc0.cdn.zkaq.cn/md/9909/9f6a3accf8630ad8bb

 2023-6-25
 0 
 6169 

实战XSS挖掘思路分享-存储型XSS

## 不多比比,直接进入正题#CTL{\n}1.看到可以插入链接,想到<a href="alert(1)">#CTL{\n}#CTL{\n}![](https://nc0.cdn.zkaq.cn/md/9909/90755b71d95f011722620620969b9069_41770.png)#CTL{\n}2.但是经过测试发现j

 2023-6-16
 1 
 1007