出版于Infosec的文章 ·2022年3月11日 PHP中的不安全比较 - 业务逻辑旁路漏洞 最近,我在PHP应用程序中发现了一个有趣的漏洞,该应用程序范围是一个私人错误赏金程序的范围。… Infosec 2分钟阅读 Infosec 2分钟阅读
出版于Infosec的文章 ·2021年3月28日 为什么我要在OWASP TOP 10 2021中扎根新类别 - 不安全的构建/部署环境? OWASP今年早些时候宣布了计划发布的全新OWASPTOP102021。OWASP发布了一项公开调查,以收集有关在黑色/灰色盒子测试期间无法轻松识别的漏洞的信息,但仍然与应用程序的整体安全姿势有关。结果,我决定提交… Owasp 4分钟阅读 Owasp 4分钟阅读
出版于Infosec的文章 ·2020年11月24日 从非开发者的角度来看AWAE/OSWE评论 今年早些时候,我通过进攻安全性参加了高级Web应用程序开发课程,经过60天的实验室,我设法通过了进攻性安全网络专家考试。通过撰写本文,我想提供有关本课程和人认证的更多信息…… awae 8分钟阅读 awae 8分钟阅读
出版于Infosec的文章 ·2020年7月14日 绕过具有跨站点(XS)有效载荷的AWS WAF CRS 今年早些时候,我的同事已经确定了一个应用程序,该应用程序显然很容易受到交叉手写的影响,因为特殊字符没有编码。但是,他很快了解到,由于尝试利用XSS的尝试导致HTTP 403错误消息,因此该应用程序是WAF的背后。谈话后… 安全 3分钟阅读 安全 3分钟阅读
出版于Infosec的文章 ·2020年3月9日 脆弱的设计导致个人数据泄漏 - 彼此之间的另一个情况…… 自从我发表有关现代Web应用程序中的第一篇有关申请间漏洞的文章以来,已经有一段时间了。最近,我在Bounty Hunting期间确定了其中一个,我个人认为不可与更广泛的社区分享是太好了。如果您是TL; 安全 3分钟阅读 安全 3分钟阅读
出版于Infosec的文章 ·2019年1月3日 应用间漏洞和HTTP标头问题。我在2018年《 Bug Bounty计划》中的摘要。 在过去的几年中,我参加了各种漏洞赏金计划。通常,这些计划是由安全成熟的公司运行的,他们付出了很多努力来确保其应用程序安全。… 安全 7分钟阅读 安全 7分钟阅读