发包多次获得优惠券漏洞是营销活动中常见的业务逻辑漏洞，主要因系统未对优惠券领取请求进行有效限制，导致攻击者通过重复发送请求（即 "重复发包"）绕过领取规则，获取...

Bryan Sullivan在此做客BlueHat博客，暂时离开我通常所在的SDL博客。很高兴看到BlueHat向Web应用安全社区示好。令我兴奋的是，Blue...

本平台仅供网络安全研究与教育用途，旨在提供给具备专业技能的白帽渗透测试人员进行合法的渗透测试和安全评估。非相关人员切勿随意使用或滥用。任何未经授权的网络渗透、入...

PortSwigger研究团队于2025年1月8日宣布开放2024年度十大Web黑客技术提名citation:5。自2006年以来，安全社区每年都会汇集全球研究...

舍入漏洞是财务、支付、电商等涉及金额计算的系统中，因对小数金额的舍入规则设计不当或计算逻辑不统一，导致实际金额与预期金额产生偏差，进而被攻击者利用获取非法利益的...

修改金额薅羊毛漏洞是电商、支付类系统中常见的业务逻辑漏洞，核心成因是系统对订单金额、支付金额等关键数据的校验机制缺失或不完整，导致攻击者可通过篡改数据绕过正常定...

在常规的支付流程中，系统会对支付金额进行严格校验，以确保交易的合理性与安全性。然而，当支付系统在设计或编码过程中存在缺陷时，就可能出现允许用户将总价修改为负数并...

欢迎阅读第16期年度十大Web黑客技术盘点，这是由社区驱动的年度盛事，旨在评选过去一年发布的最重要、最具创新性的Web安全研究成果。今年我们收到了破纪录的46项...

随着互联网应用的不断普及，安全问题也日益凸显。黑客利用各种漏洞攻击网站和应用，给用户和企业带来巨大的损失。特别是SQL注入（SQLi）和跨站脚本攻击（XSS），...

漏洞赏金狩猎的第一步是理解被测Web应用的范围。这包括识别Web应用的功能、特性和使用的技术。理解Web应用范围有助于赏金猎人集中测试精力，识别潜在漏洞。

Deadface CTF是由Cyber Hacktics主办的年度黑客赛事，本届围绕虚构黑客组织DEADFACE展开叙事。参赛者需协助灰帽组织Turbo Tac...

虽然我不常参加CTF比赛，但热衷于设计CTF挑战题目，因为这能迫使我通过实践学习。设计优秀的CTF挑战更像艺术而非科学。作为去年3万美元奖金"The InfoS...

长亭雷池（SafeLine）是由北京长亭科技有限公司耗时近10年研发并推出的Web应用防火墙（WAF），其核心检测能力由智能语义分析算法驱动。雷池旨在为用户提供...

《腾讯云 2024 年 DDoS 与应用安全威胁趋势报告》显示，利用漏洞和应用弱点的攻击手段愈发多样化和复杂化，2024 年高危漏洞攻击总量超过 17 亿次，面...