知识星球沉淀内容


  • brief introduction
  • Table of contents
  • Latest documents

    113 xss 绕过括号和反引号检测

    payload ``` onerror=alert;throw document.domain;

    myh0st - March 14, 2024, 3:57 p.m.


    409 绕过多个黑名单命令

    ``` code POST argument. Find a way to execute cat /etc/passwd bypassing input validation.\n"; echo "Example: curl -d 'code=id' http://".$_SERVER["HTTP_HOST"]."/index.php \n\n"; error_reportin………

    myh0st - Sept. 22, 2022, 4:38 p.m.


    漏洞赏金自动化

    针对大量网站的测试实战经验记录 利用第三方平台收集目标相关 URL: https://github.com/bp0lr/gauplus 补天漏洞收录要求: 爱站网查询,百度 移动或者 PC 权重 >= 1,谷歌权重 >= 3 全部 gov.cn 和 edu.cn 后缀的网站 phpinfo泄露,反射xss,url重定向这类漏洞 不收 360 亿万守护计划收录要求: 爱站网………

    myh0st - Aug. 26, 2022, 5:41 p.m.


    08 漏洞赏金提示

    1、http 协议中的任意部分都可能存在安全问题 2、Github 上有意想不到的收获 3、将 x-forword-for 设置为 127.0.0.1 可以避免被 waf 等系统获取真实 IP 4、

    myh0st - Aug. 25, 2022, 8:23 a.m.


    漏洞赏金秘密提示

    1、使用谷歌后门语法搜索 http://amazonaws.com 来寻找 S3 存储桶 2、通过谷歌语法:site:xazlsec.com filetype:pdf 来发现内部文档 3、发现子域接管漏洞,可以利用绕过 CSP 策略 4、子域名发现时,可以尝试枚举三级域名,比如 xxx.corp.xazlsec.com\xxx.dev.xazlsec.com 5、关注一些未授权的数据库,比如 ………

    myh0st - Aug. 22, 2022, 9:31 a.m.



    myh0st