SRC挖掘
业务支付逻辑安全案例
某度ID值爆破任意登录
社交应用越权泄露漏洞
某迅相册APP绕过XSS
某度利用上传触发XSS
泄露验证造成签约越权
小程序放包绕过人脸识别
业务逻辑绕过人脸识别
竞争并发拿下挑战赛
某B未绑定导致任意注册
时间校验机制领取VIP
某视频不安全对象引用
无回显SSRF修改利用
社交应用放包越权测回
理财支付漏洞四舍五入
某迅API分享导致重定向
吃货去改包提权超管
某云厂商社区SSRF挖掘
代金卷导致的支付错误
某鹅邮箱附件上传XSS
导出功能导致任意修改
某商城补领优惠券并发
限制购买多次创建绕过
钓鱼供应链挖掘利用
老SQL注入换思路就行
EDUSRC玩通用逻辑
企业功能从限制入手
从逆向角度玩APP测试
CNVD通用漏洞证书思路
地图Key泄露绕过利用
绕过CDN获取2高2中
首单VIP签约叠加使用
简单的JS分析未授权
冷门CORS配置出错挖掘
登录框到通用漏洞挖掘
统一系统认证挖掘点
前端校验错误直接捡洞
前端检验导致信息泄露
众测SRC测试姿势总结
细微数据包找越权撤回
AI代码审计实现自动出货
小程序资产测文件上传
爆破支付密码绕过限制
APP绕过时间过期限制
某APP逆向渗透测试总
EDU证书985泄露越权
小程序让地址校验失效
短信验证码缺陷到弱口令
JS逆向签名链到任意登录
AI拿下第一个SRC漏洞
某EDU通用系统渗透测试
盘点主流大厂SRC规则
AI自动搞定小程序审计
2026浏览器安全插件
AI+小程序任意登录漏洞
众测一路追到供应链
小迪安全知识库
-
+
首页
众测一路追到供应链
众测一路追到供应链
## 前言 事起之因源于某次EDU众测,好巧不巧某高校连上了两次众测 华中 ## 开局 目标靶标中一处资产,大概长这样  打过这套通用的都知道,这套实验室系统多处上传也不是什么0day,早在一年前就出来了 相对于这套上传,另外的VDI虚拟化架构一主多从Master + N node节点更让人心动 应该是这套 xxx孪生系统 大概长这样  ## 打点 从我有一个朋友那里拿一个点,某系统的后台  又碰巧的是这套后台系统对接的有门禁,门禁记录信息后台有详情展示 因为有某供应链的系统,梳理如下: 1、甲方:院校单位购买 乙方:供应链 多个产品 xxx实验室系统 不止一套 乙方牌厂商实施/运维人员线下部署调试产品 2、线下过门禁,大概率有记录信息 通过这点出发,某系统后台记录有厂商人员信息 信息提炼 ——》供应链 准备  大概有15位左右厂商人员信息,还不止同一批 整理好信息后打散 分为4份 1、张三、李四 zhangsan 2、张三、李四 zs 3、手机号一份 4、邮箱一份【供应链资产有邮箱系统】    ## 供应链 信息整理好后,开始对于供应链踩点 某xxx系统   忘记了什么系统  NAS系统  最终通过xxx系统打了进去       传统功夫在于点到为止
xiaodi
2026年7月3日 16:31
14
0 条评论
转发
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
分享
链接
类型
密码
更新密码
有效期
Markdown文件
Word文件
PDF文档
PDF文档(打印)