批量分配漏洞批量分配（也称为自动绑定）可能会无意中创建隐藏参数。当软件框架自动将请求参数绑定到内部对象上的字段时，就会发生这种情况。因此，批量分配可能会导致应用程序支持开发人员从未打算处理的参数。传送门https://portswigger.net/web-security/api-testing/lab-exploiting-mass-assignment-vulnerability进入该靶场登

识别支持的 HTTP 方法HTTP 方法指定要对资源执行的作。例如：GET- 从资源中检索数据。PATCH- 将部分更改应用于资源。OPTIONS- 检索有关可在资源上使用的请求方法类型的信息。API 端点可能支持不同的 HTTP 方法。因此，在调查 API 端点时测试所有潜在方法非常重要。传送门https://portswigger.net/web-security/api-testing/la

下文中所述漏洞已修复在前段时间的漏洞挖掘中，上了某证书站，打点的一处逻辑漏洞访问某一站点，发现了一处登录页点击登录按钮之后，发现该站点大概率是自写站点，存在逻辑漏洞的可能性大大增大，利用前期信息收集到的某学生账号进行登录(弱口令)在个人信息里尝试修改个人信息 发现在修改个人手机号的时候可以修改user (越权修改手机号！)接口大致如下所示这时候反手将user为1的账户改成自己的

每天登录掌控社区都看到了新鲜出炉的文章任意选择了一篇进行尝试例如文章中写道例如 app=”HJSOFT-HCM”在鹰图中会是什么呢？首先在fofa中搜索可以发现图标以及标题然后我们提取title=人力资源信息管理系统这里的话用一种便捷提取图标的方式通过fofa获取到某个IP存在这个图标 如ip=x.x.x.x转到鹰图后点击该图标又或者直接点击得到两种方式web.ico

最近在刷刷CNVD  盲打的时候发现了一个站点 http://ruvetrut.aqlab.cn 查了一

## 目标 开局一个登录框  ## 打点 尝试爆破，无望 之后查询了一下供

## 打点 开局一个登录框  ## 信息收集 发现了一处接口泄露了部分信息

## 前言 打的站点打多了，什么奇怪的问题都会发生 ## 打点 开局一个登录框  ## 用

## 打点 开局访问某平台，又是vue框架  随后发现一处信息泄露 ![](https://nc0.cd

## 前言 漏洞挖掘有时候换几个思路，事半功倍 下面讲解一些很简单，但是实用的思路 ## 案例一、若依系统配置不当 讲解了这么多系统，兜兜转转又回到了若依 其实最早的若依系统，在js中已经将账号密码自动填充，我们一访问就可以直接登录。