《Web Hacking 101》中的链接整理

原书：Web Hacking 101

HTML 注入

Coinbase Comments
HackerOne Unintended HTML Inclusion
Within Security Content Spoofing

HTTP 参数污染

HackerOne Social Sharing Buttons
Twitter Unsubscribe Notifications
Twitter Web Intents

CRLF 劫持

Twitter HTTP Response Splitting
v.shopify.com Response Splitting

CSRF

Shopify Export Installed Users
Shopify Twitter Disconnect
Badoo Full Account Takeover

逻辑漏洞

Shopify Administrator Privilege Bypass
Starbucks Race Conditions
Binary.com Privilege Escalation
HackerOne Signal Manipulation
Shopify S3 Buckets Open
HackerOne S3 Buckets Open
Bypassing GitLab Two Factor Authentication
Yahoo PHP Info Disclosure
HackerOne Hacktivity Voting
Accessing PornHub’s Memcache Installation

XSS

Shopify Wholesale
Shopify Giftcard Cart
Shopify Currency Formatting
Yahoo Mail Stored XSS
Google Image Search
Google Tagmanager Stored XSS

SQL 注入

Drupal SQL Injection

开放重定向漏洞

Shopify Theme Install Open Redirect
Shopify Login Open Redirect
HackerOne Interstitial Redirect

子域控制

Ubiquiti sub domain Takeover
Scan.me Pointing to Zendesk
Swiping Facebook Official Access Tokens

XXE 注入

Read Access to Google
Facebook XXE with Word
Wikiloc XXE

代码执行

Polyvore ImageMagick

模板注入

Uber Angular Template Injection
Uber Template Injection
Rails Dynamic Render

SSRF

ESEA SSRF and Querying AWS Metadata

内存漏洞

PHP ftp_genlist()
Python Hotshot Module
Libcurl Read Out of Bounds
PHP Memory Corruption

工具

Burp Suite
Knockpy
HostileSubBruteforcer
sqlmap
Nmap
Eyewitness
Shodan
What CMS
Nikto
Recon-ng
idb
Wireshark
Bucket Finder
Google Dorks
IPV4info.com
JD GUI
Mobile Security Framework
Firefox Plugins
- FoxyProxy
- UserAgentSwitcher
- Firebug
- Hackbar
- Websecurify
- CookieManager+
- XSS Me
- Offsec Exploit-db Search
- Wappalyzer

资源

OnlineTraining
- WebApplication Exploits and Defenses
- The Exploit Database
- Udacity
Bug Bounty Platforms
- Hackerone.com
- Bugcrowd.com
- Synack.com
- Cobalt.io
Video Tutorials
- youtube.com/yaworsk1
- Seccasts.com
- Twitter#infsec
- Twitter@disclosedh1
- Web Application Hackers Handbook
- Bug Hunters Methodology
Recommended Blogs
- philippeharewood.com
- Philippe’sFacebookPage
- fin1te.net
- NahamSec.com
- blog.it-securityguard.com
- blog.innerht.ml
- blog.orange.tw
- Portswigger Blog
- Nvisium Blog
- blog.zsec.uk
- Bug Crowd Blog
- HackerOne Blog

《Web Hacking 101》中的链接整理相关推荐

Web Hacking 101 中文版九、应用逻辑漏洞（一）
九.应用逻辑漏洞作者:Peter Yaworski 译者:飞龙协议:CC BY-NC-SA 4.0 应用逻辑漏洞不同于其他我们讨论过的类型.虽然 HTML 注入.HTML 参数污染和 XSS 都涉 ...
Web Hacking 101 中文版十三、子域劫持
十三.子域劫持作者:Peter Yaworski 译者:飞龙协议:CC BY-NC-SA 4.0 描述子域控制就真的是听上去那样,它是一种场景,恶意用户能够代表合法站点来申请一个子域.总之,这一 ...
Web Hacking 101 中文版十七、服务端请求伪造
十七.服务端请求伪造作者:Peter Yaworski 译者:飞龙协议:CC BY-NC-SA 4.0 描述服务端请求伪造,或者 SSRF,是一种类型,它允许攻击者使用目标服务器来代表攻击者自己 ...
Web Hacking 101 中文版十八、内存（一）
十八.内存作者:Peter Yaworski 译者:飞龙协议:CC BY-NC-SA 4.0 描述缓冲区溢出是一个场景,其中程序向缓冲区或内容区域写入数据,写入的数据比实际分配的区域要多.使用冰 ...
Web Hacking 101 中文版十八、内存（二）
2. Python Hotshot 模块难度:高 URL:无报告链接:http://bugs.python.org/issue24481 报告日期:2015.7.20 奖金:$500 描述: 像 ...
Web Hacking 101 中文版九、应用逻辑漏洞（三）
7. 绕过 Gitlab 的双因素认证难度:中 URL:无报告链接:https://hackerone.com/reports/128085 报告日期:2016.4.3 奖金:无描述: 4 月 ...
Web Hacking 101 中文版十六、模板注入
十六.模板注入作者:Peter Yaworski 译者:飞龙协议:CC BY-NC-SA 4.0 模板引擎是允许开发者或设计师在创建动态网页的时候,从数据展示中分离编程逻辑的工具.换句话说,除了拥 ...
Web Hacking 101 中文版十四、XML 外部实体注入（一）
十四.XML 外部实体注入作者:Peter Yaworski 译者:飞龙协议:CC BY-NC-SA 4.0 XML 外部实体(XXE)漏洞涉及利用应用解析 XML 输入的方式,更具体来说,应用程 ...
Web Hacking 101 中文版十二、开放重定向漏洞
十二.开放重定向漏洞作者:Peter Yaworski 译者:飞龙协议:CC BY-NC-SA 4.0 描述根据 OWASP,开放重定向出现在应用接受参数并将用户重定向到该参数值,并且没有对该值 ...

《Web Hacking 101》中的链接整理

《Web Hacking 101》中的链接整理

HTML 注入

HTTP 参数污染

CRLF 劫持

CSRF

逻辑漏洞

XSS

SQL 注入

开放重定向漏洞

子域控制

XXE 注入

代码执行

模板注入

SSRF

内存漏洞

工具

资源

《Web Hacking 101》中的链接整理相关推荐

最新文章

热门文章