0x00 前言之前写过一篇文章《管理员,你的密码安全吗?》,里面分享了一种getshell后修改js和后端源码抓取管理员明文密码的方案,但有时后端源码并不是那么好修改的,或者修改后并不能立即生效,使得...
11月13日186 views评论js
密码
改进js抓明文密码的方案
11月13日186 views评论js
密码
11月13日186 views评论js
密码
记一次卑微的渗透测试
本文约1800字,阅读约需5分钟。随着攻防演练愈演愈烈,弱小的我也不得不加入攻防大军的队伍里,而本篇文章就记录了某次攻防演练中的getshell历程。在这次攻防演练中,初步利用工具批量打点无果,作为团...
10月06日95 views记一次卑微的渗透测试已关闭评论js
后台
就南邮攻防平台一道web题(AAencode),论颜文字js解密
根据题目AAencode可以判断出,这是一道颜文字js加密,但是密文不应该是这样的,单击查看-->文字解码-->unicode然后密文变为以下样式:打开控制台,将密文复制下来,在控制台中跑...
09月28日266 views评论js
密文
实战 | 全程分析js到getshell
前言“ 申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!” Part 1“ 看到望海师傅的某理证书真滴好看,真想搞一本,刚刚入edusrc的时候收集了一波某理的子域资产,全部看...
09月24日152 views评论http
js
浅见:将JS代码注入到第三方CEF应用程序
本文为看雪论坛优秀文章看雪论坛作者ID:renbohanCEF是Chromium Embedded Framework的缩写,即“Chromium嵌入式框架”,采用c++编写,地位类似于Electro...
09月15日428 views评论js
框架
android JSBridge 漏洞挖掘
一、概述1. JSBridge介绍什么是JSBridge主要是给 JavaScript 提供调用 Native 功能的接口,让混合开发中的前端部分可以方便地使用 Native 的功能(例如:地址位置、...
09月14日197 views评论js
native
Github被DDOS攻击的感想
在乌云某群中,许多大牛都发现了这个现象,并开始对其进行深入的分析。 提示信息“malicious javascript detected on this domain ”原意就是,恶意的javascr...
09月02日119 views评论ddos
github
一次JS禁用小技巧(特殊情况)
△△△点击上方“蓝字”关注我们了解更多精彩0x00 Preface [前言/简介] 日常划水摸鱼随缘渗透的时候,发现某管理系统会预加载后台页面,尝试禁用JS阻止部分功能代码的运行,达到未授...
08月23日103 views评论js
页面
【XSSI】动态JS劫持用户信息-Webpack+JSONP劫持
动态JS劫持用户信息-Webpack+JSONP劫持作者:key注:本文已对敏感信息脱敏化,如有雷同纯属巧合。前言在做测试的时候发现一个请求:POST /user/getUserInfo HTTP/1...
08月12日279 views评论信息
用户
【干货 | 附下载】利用AWVS对目标后台批量检测弱口令
前言在做安全测试的时候,随着资产的增多,经常会遇到需要快速检测大量网站后台弱口令的问题虽然有WebCrack了,但效果往往不尽人意,但其实很多人不知道,AWVS也支持对网站进行登录口令检测,自带Chr...
08月11日369 views评论awvs
js
G.O.S.S.I.P 学术论文推荐 2021-8-5
今天的论文推荐来自2021年刚刚结束的Let's GoSSIP暑期学校中由汤战勇老师介绍的议题《智能软件与系统交互安全分析初探》中提及的PLDI 2021录用论文Automated Conforman...
08月05日7 views评论javascript
软件
Node.js 修复了可能让攻击者使应用程序崩溃的严重 HTTP 错误
更多全球网络安全资讯尽在邑安全Node.js 发布了一个高危漏洞的更新,攻击者可能利用该漏洞破坏进程并导致意外行为,例如应用程序崩溃和潜在的远程代码执行 (RCE)。被称为 CVE-2021-2293...
08月03日188 views评论js
漏洞
35