初探网站请求body被加密:如请求加密不正确则会报错:JS逆向寻找特征看加密密文,有点像AES/DES/RSA + Base64,尝试搜索前端常用加密库关键词:JSEncrypt(RSA)Crypto...
记一次APP加密数据包的解密过程与思路
0x01 前言针对一次app加密数据包的分析和解密,简单提供下在js中寻找加密方法的思路。0x02 过程前几天朋友给我发来个app让我看下app中的数据包进行了加密,而且还有WAF 动不动就会封IP这...
简单的挖掘edu
0x01 前言闲来没事,突然想到能不能挖一手edu的漏洞,打开edusrc高校排行榜随机抽取了一位幸运儿,然后开始对此开始测试。0x02 信息搜集第一步肯定是信息收集,比较懒直接就收集子域名,什么wh...
CVE-2022-31625 PHP内存未初始化导致RCE漏洞成因分析和复现
★且听安全★-点关注,不迷路!★漏洞空间站★-优质漏洞资源和小伙伴聚集地!漏洞信息接上文:CVE-2022-31626 PHP远程命令执行漏洞成因分析与复现XCyber,公众号:且听安全CVE-202...
YAK-SSA,古希腊掌管PHP代码审计的神
之前的文章中曾为大家简单介绍过 线上代码审计平台ssa.to 今天牛牛就来为大家详细介绍一下 如何用ssa进行PHP的代码审计 tp封装的辅助参数,I/request方法 thinkphp中的封装了请...
CVE-2024-50603 Aviatrix Controller RCE 发布 poc
CVE-2024-50603 在Aviatrix Controller 7.x 至 7.2.4820 中发现了一个问题。由于操作系统命令中使用的特殊元素中和不当,未经认证的攻击者可远程执行任意代码。 ...
记一次基于django二次开发系统业务源代码审计
简述突然被领导拉去协助产研的同学做代码审计,审计的系统是一个后端业务系统,系统基于django框架做的二次开发,我只负责审计业务代码即可。审计过程中遇到一个文件上传点未按照编码规范,使用拼接的形式查询...
Blackdagger:一款针对DevSecOps的工作流自动化工具
关于Blackdagger Blackdagger是一款基于DAG的工作流自动化工具,旨在为协调 DevOps、DevSecOps、MLOps、MLSecOps 和持续自动红队 (CART) 环境中的...
实战-关于KEY泄露API接口利用
原文链接:https://zone.huoxian.cn/d/2909-keyapi 作者:和0x1 前言最近做项目遇见的各个平台的Key泄露的比较多,正好总结一下关于API接口利用的内...
教你用python读取csv文件,调用企业微信API发送邮件
思路就是循环读取记录用户信息的csv文件,取每一条数据匹配出来相关信息然后调用企业微信API发送通知,发送通知的代码如下:import jsonimport requestsclassWorkWeix...
某小说参数加密&会员分析
分析工具 雷电模拟器9.0.77 JADX Reqable frida 分析思路 参数加密分析 使用Reqable对登陆抓包看请求参数发现有sign值,如何使用Reqable抓包,可以看这篇文章安卓渗...
百择唯供应链存在SearchOrderByParams SQL注入漏洞 PoC
1 漏洞描述 百择唯供应链存在SearchOrderByParams SQL注入漏洞,未经身份验证的攻击者通过漏洞,执行任意代码从而获取到服务器权限。 2 漏洞复现首页 需要注册账号,替换包内的Coo...
9