前言 Burp Suite是一个无需安装软件,下载完成后,直接从命令行启用即可。开箱即可使用支持LInux/Windows/Mac版本全新界面 扩展功能 01 更新介绍 此版本引入了使用自定义操作自动...
如何优雅的在Mac中抓取微信小程序流量
所需准备: 一台安装了微信的Mac(没有微信抓个大头鬼啊) Burp Suite Proxifier 基本原理: 通过Proxifier工具代理微信小程序流量到burp 1 安装burp证书到系统中 ...
使用 X509 证书攻击 JWT
在为上一篇博客收集一些信息时,我发现了一个有趣的JSON Web 签名 (JWS)标头:https://trustedsec.com/blog/attacking-jwt-with-self-sign...
《灵活的修改Burp请求》
灵活的修改Burp请求在日常渗透测试中经常会遇到请求头需要替换、请求或响应内容需要解密等一系列麻烦的事。更换请求头可以通过Burp的Match and Replace功能来实现,加解密也有一些插件可以...
译文 | 使用 Markdown RCE 服务器
开卷有益 · 不求甚解背景Hashnode 是一个面向开发人员的博客平台,您可以在其中使用自定义域免费托管您的博客。这包含许多功能,其中一项功能是“批量 Markdown 导入器”。当我将我的博客从 ...
Mitmproxy GUI用于解决渗透测试加解密的难题 让你的Burp像测试明文这么简单|漏洞探测
0x01 工具介绍一个基于 Mitmproxy 的图形化代理工具,支持多种加密算法的请求拦截和修改。本项目提供了一个直观的图形界面,使得使用 mitmproxy 进行请求拦截和加解密变得更加简单。注意...
Burp Suite的必备神器:4款高效插件让渗透测试战斗力飙升!
引言:在渗透测试的世界里,Burp Suite早已成为渗透测试人员不可或缺的核心工具。然而面对日益复杂的Web应用和API接口,原生功能有时仍显得力不从心(重复操作和复杂场景让我们抓狂)。此时,插件生...
记某次加解密测试
记某次加解密测试起因测试时遇到了一个流量加密的系统,而加解密这块弄的比较少,所以记录下这次加解密的流程,该系统的加密流量如下:JsRpc+Galaxy之前逛github的时候就看到过Galaxy这个插...
Web Fuzzer: MORE than Repeater + Intruder
如果我们只是想做 Repeater / Intruder 的平替,其实并没有太大的意义。实际上基于 Fuzz 模版变形的 Web Fuzzer 的操作在灰度测试的过程中取得了巨大反响,收获了大量好评,...
【技巧分享】Burp插件-BurpCrypto加密插件
一、工具介绍 Burpcrypto是BurpSuite加密插件合集,支持AES/RSA/DES/ExecJs(在burpsuite中执行JS加密代码)。 二、安装方法 下载完成后导入到B...
Mitmproxy GUI用于解决渗透测试加解密难题,让你的burp像测试明文这么简单 更新v1.0.2
工具介绍 Mitmproxy GUI一个基于 Mitmproxy 的图形化代理工具,支持多种加密算法的请求拦截和修改。本项目提供了一个直观的图形界面,使得使用 mitmproxy 进行请...
【转载】一个基于规则的加解密破签工具
一直以来,我都在思考渗透测试过程中加密、防重放、签名的最优解决方案,市面上也出现了很多成熟的方案及工具,但始终无法在用户代码水平和更灵活之间找到平衡。有一段时间,我甚至认为无解,但最终,我还是找到了解...