主要观点总结
文章介绍了一种利用IIS短路径模糊测试寻找漏洞的方法,并详细描述了如何通过深入分析一个开源ChatEngine.svc项目的源代码,发现其中的安全隐患,包括路径遍历(LFI)和可能的SSRF盲注问题。文章还提到了如何加入星球进行交流以及分享给更多朋友。
关键观点总结
关键观点1: 使用IIS短路径模糊测试寻找漏洞
文章介绍了一种利用IIS短路径模糊测试的方法,通过扫描是否存在短路径漏洞来发现潜在的安全问题。
关键观点2: 开源项目ChatEngine.svc的安全性分析
文章以一个开源的ChatEngine.svc项目为例,通过深入研究源代码发现了路径遍历(LFI)的安全隐患,并探讨了可能的SSRF盲注问题。
关键观点3: 交流分享和成员定价
文章提到了加入星球进行交流的方式,并给出了前50位成员和后续会员的定价信息。
文章预览
声明: 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名: https://gugesay.com 不想错过任何消息?设置星标 ↓ ↓ ↓ 相信这个页面大家很熟悉吧?看到此类页面,你会怎么做?让我们来看看国外小哥的做法,也许能给你带来一些启发。 首先使用 https://github.com/irsdl/IIS-ShortName-Scanner 进行IIS短路径的模糊测试,看是否存在短路径漏洞。 发现一些文件后,使用ffuf进行进一步的发现,然后就发现了一个EVOLUTION 的目录! 这个ChatEngine.svc 是开源的吗?经过简单的 搜索 ,发现确实是开源的! 居然是一个10多年前的开源项目,那它的 安全 性也许就没有那么好了… 深入研究源代码,小哥发现了如下片段: https://github.com/eStream/e
………………………………
