【软件更新】jsEncrypter插件升级至0.3版本

  • A+
所属分类:安全工具

jsEncrypter是我专门方便测试和Fuzz经过前端加密参数安全性编写的Burp插件。从实习时产生的想法到设计实现,到后期渗透测试实践中不断完善。经历了2年多的沉淀,它目前已经能应对我遇到的90%以上的前端加密情况。


github: https://github.com/c0ny1/jsEncrypter

download: https://github.com/c0ny1/jsEncrypter/releases



本次更新主要涉及如下:


  1. 去除httpclient依赖

  2. 使客户端支持设置超时

  3. 使repeater支持右键加密

  4. 使服务端脚本支持日志输出



 0x01 

去除httpclien依赖



结合软件的功能来说,根本用不到httpclient.jar的复杂功能。于是重新封装java原生http请求,移除以下插件依赖的7个jar。让插件变得更加“轻”。

【软件更新】jsEncrypter插件升级至0.3版本




 0x02 

使客户端可设置超时



这个功能因为当时在一次渗透测试过程中,发现如果加密算法足够复杂,那么加密需要时间也就会很久。而老版的插件的客户端无法设置接收加密结果的超时时间,导致服务端加密完成后,客户端已经超时停止接收了。

【软件更新】jsEncrypter插件升级至0.3版本




 0x03 

使Repeater支持右键加密



老版插件只支持在Intruder模块对参数进行fuzz,新版在此基础上添加对Repeater模块的右键快速加密

【软件更新】jsEncrypter插件升级至0.3版本



 0x04 

使服务端脚本支持日志输出



新版会自定生成jsEncrypter.log日志文件记录原始payload和被加密后payload的对应关系,方便在fuzz成功的情况下搜索密文找到对应的原始payload

【软件更新】jsEncrypter插件升级至0.3版本

本文始发于微信公众号(回忆飘如雪):【软件更新】jsEncrypter插件升级至0.3版本

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: