漏洞 | 🔰雨苁ℒ🔰

什么是NoSQL注入以及如何防御NoSQL注入

2020年5月30日雨苁渗透测试, 漏洞, 黑客技术

NoSQL注入漏洞使攻击者可以将代码注入到不使用SQL查询的数据库的命令中，例如MongoDB。NoSQL注入攻击可能特别危险，因为代码已以Web应用程序的语言注入并在服务器上执行，从而潜在地允许任意代码执行。让我们看看NoSQL注入与传统SQL注入有何不同，以及如何防止它。

ManageEngine OpManger 任意文件读漏洞 Exp (CVE-2020-12116)

2020年5月13日雨苁渗透测试, 漏洞, 黑客工具, 黑客技术

ManageEngine OpManger 任意文件读漏洞 Exp (CVE-2020-12116),最新版本的OpManger包含一个目录遍历漏洞
该漏洞允许不受限制地访问OpManager应用程序中的每个文件,包括私有SSH密钥，受密码保护的Java密钥库以及包含密钥库，私有证书和后端数据库的密码的配置文件

WeblogicScan Weblogic漏洞扫描器

2020年5月13日雨苁技能树, 渗透测试, 漏洞扫描器, 黑客工具, 黑客技术

WeblogicScan Weblogic漏洞扫描器
CVE-2014-4210,CVE-2016-0638,CVE-2016-3510,CVE-2017-3428,CVE-2017-3506,CVE-2017-10271,CVE-2018-2628,CVE-2018-2893,CVE-2018-2894,CVE-2019-2618,CVE-2019-2725,CVE-2019-2729

hackerone 6277份公开漏洞报告下载

2020年5月12日雨苁技能树, 渗透测试, 漏洞

hackerone 6277份公开漏洞报告下载
为了获得一个“无穷无尽”的阅读清单，我使用HackerOne API收集了过去5年中有关HackerOne的每一份披露的报告。多个人要求提供的hackerone漏洞报告清单-就是这里！

burp越权漏洞检测插件BurpSuite Authz

2020年4月29日雨苁 Burpsuite, 技能树, 渗透测试, 漏洞, 黑客工具, 黑客技术

burp越权漏洞检测插件BurpSuite Authz 我们平时做测试的时候发现越权问题都是基于修改ID的方式：A的ID改成B的ID然后进行请求查看是否可以越权获取到信息，或当ID的规律已知情况下基于BurpSuite Intruder模块直接去遍历ID。