jsEncrypter是我专门方便测试和Fuzz经过前端加密参数安全性编写的Burp插件。从实习时产生的想法到设计实现,到后期渗透测试实践中不断完善。经历了2年多的沉淀,它目前已经能应对我遇到的90%以上的前端加密情况。
github: https://github.com/c0ny1/jsEncrypter
download: https://github.com/c0ny1/jsEncrypter/releases
本次更新主要涉及如下:
-
去除httpclient依赖
-
使客户端支持设置超时
-
使repeater支持右键加密
-
使服务端脚本支持日志输出
0x01
去除httpclien依赖
结合软件的功能来说,根本用不到httpclient.jar的复杂功能。于是重新封装java原生http请求,移除以下插件依赖的7个jar。让插件变得更加“轻”。
0x02
使客户端可设置超时
这个功能因为当时在一次渗透测试过程中,发现如果加密算法足够复杂,那么加密需要时间也就会很久。而老版的插件的客户端无法设置接收加密结果的超时时间,导致服务端加密完成后,客户端已经超时停止接收了。
0x03
使Repeater支持右键加密
老版插件只支持在Intruder模块对参数进行fuzz,新版在此基础上添加对Repeater模块的右键快速加密。
0x04
使服务端脚本支持日志输出
新版会自定生成jsEncrypter.log日志文件记录原始payload和被加密后payload的对应关系,方便在fuzz成功的情况下搜索密文找到对应的原始payload。
本文始发于微信公众号(回忆飘如雪):【软件更新】jsEncrypter插件升级至0.3版本
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论