什么是JWT JSON Web Token（JSON Web令牌）是一种跨域验证身份的方案。JWT不加密传输的数据，但能够通过数字签名来验证数据未被篡改。常用于分布式站点的单点登录。JWT的声明一般被用在客户端与...

流程: 1. 信息收集： 获取站点后，进行信息收集，扫描目录，查找敏感信息。 2. BurpSuite流程检测： 使用BurpSuite打开网站，执行流程检测，寻找可能存在的漏洞。 3. 文件上传漏洞利用： 发现站...

一、如何找站？ 使用谷歌搜索结合SQL注入、XSS等漏洞语法： <code>inurl:.php?id=xx 公司 inurl:.asp?id=xx 公司 inurl:.jsp?id=xx 公司</code> id传参的数字也可以变换 这样就可以找到不...

No.0 前言 分享一次个人实战经历 No.1 开篇 开始时，通过findsometings工具，找到了一个备份的压缩包链接。 详细检查其中的文件时，发现在pptx的截图中泄露了某人的身份证号信息。 No.2 深入挖...