- 简介
- 目录大纲
- 最新文档
2026浏览器安全插件
1. 幻影 幻影 (Phantom) 是一个专为SRC漏洞挖掘场景设计的浏览器扩展工具,旨在辅助白帽黑客在授权范围内高效挖掘潜在安全风险。该扩展通过自动化手段,对当前浏览页面及其关联资源进行智能分析,主动识别并提取可能存在的敏感信息暴露与安全线索,提升信息收集效率与覆盖广度。 2. 雪瞳 雪瞳 (SnowEyes) 是一个用于检测和提取网页中敏感信息的Chrome浏览器扩展,旨在帮助用户快...……
xiaodi - 2026年6月26日 15:30
AI自动搞定小程序审计
一、前言 人工测试小程序效率低下,试试用 AI 来搞定。操作简单零门槛,普通人也能快速上手。本文分享完整实操方法,带你轻松完成小程序测试。 二、工具清单 ``` 微信小程序反编译工具:https://github.com/eeeeeeeeee-code/e0e1-wx trae:https://www.trae.cn/ 微信小程序安全审计skill:https://github.com/ss...……
xiaodi - 2026年6月26日 15:28
盘点主流大厂SRC规则
很多刚入坑 SRC 的新手都会遇到的问题: 库库挖洞,熬夜提交一堆漏洞,结果: ❎直接被厂商驳回 ❎定级极低只有象征性奖励。 入行这几年我踩过不少坑,同样类型的漏洞,在 A 厂能定级中危拿激励,放到 B 厂直接判定不算漏洞。本质原因就是不了解各家 SRC 的收录标准。 ⚠️重要提醒:本文所有内容仅用于正规厂商公开 SRC 平台授权下的安全研究学习,任何未经网站所有者书面授权、私自扫描、渗透...……
xiaodi - 2026年6月17日 19:12
某EDU通用系统渗透测试
某次护网我们学校是靶标,这不得搞一手,开局一个登录框,身为本校学生我居然不知道密码是啥……使用 sso 跳转登录 抓包 username 是由 sso 直接传到这个系统的,没有其他参数,测试发现存在任意用户登录,漏洞+1 进入系统首先点击个人信息,是否可以水平越权获取大量敏感信息 个人信息是通过在 url 传入 uuid 查询的,替换 uuid 可以越权,但是 uuid 不可爆破,用处不...……
xiaodi - 2026年6月13日 16:11
AI拿下第一个SRC漏洞
0x00 前言 众所周知.......最近安全圈使用AI测试是越来越普遍了。也是不少听说,什么!别人用AI挖了几万块钱了,什么!还有AI审计的各种RCE漏洞...我不行了,我也眼红了,我必须也得要用上了,然后找各种公众号文章、B站视频,感谢各位前辈的无私奉献,也是让我用上了哈哈哈。不过刚尝到了一点小甜头,还是高兴的太早了,那么我就分享一下我个人使用AI赋能挖到的第一个漏洞,顺带和各位大佬们交...……
xiaodi - 2026年6月5日 22:15