渗透测试中心

摘要： 在测试甲方业务或者挖 SRC 等业务的时候，经常碰到发送短信验证的地方，我们可以联想到的就是任意用户登陆、短信轰炸、任意用户修改密码等逻辑性的漏洞， 简单的漏洞也是需要清晰的思维分析，拿几个短信轰炸多个绕过案例分享，高危挖不动低危拿来凑。1. 参数污染绕过参数污染，就是说后台发送短信的时候会取数字那 阅读全文

摘要： 0 简介JumpServer是一款开源的堡垒机，是符合4A规范的运维安全审计系统，通俗来说就是跳板机。2021年1月15日，JumpServer发布安全更新，修复了一处远程命令执行漏洞。由于JumpServer某些接口未做授权限制，攻击者可构造恶意请求获取敏感信息，或者执行相关操作控制其中所有机器， 阅读全文