逛了一下补天的专属src,找了看起来好欺负的练练手,提交了三个漏洞,两个ssrf,一个未授权,结果就通过了一个,果然是好欺负的!!!。一个ssrf重复,未授权的资产偏了,最戏剧性的是周五的时候目标还没...
05月21日23 views评论burp
端口
三个src挖案例
05月21日23 views评论burp
端口
05月21日23 views评论burp
端口
安卓系统7.x使用burp抓包微信小程序
感谢师傅 · 关注我们由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~纯技术交流群(blacklove(无备注不通过, 进群)杜绝一切形式广告...
05月19日20 views评论burp
模拟器
BurpSuite之实战使用
burpsuite是一款功能强大的用于攻击web应用程序的集成平台,通常在服务器和客户端之间充当一个双向代理,用于截获通信过程中的数据包,对于截获到的包可以人为的进行修改和重放。此BurpSuite实...
05月19日19 views评论burp
burpsuite
小程序保护: 一步步实现getshell
忽然发现,写公众号那么久,我竟然没写过小程序相关的文章,借此机会,也分享一下个人对小程序的渗透之路吧。 网站有没有漏洞,三分靠运气,三分靠技术,剩下四分靠细心。 0.渗透思路 主要为两点 第一个是页面...
05月18日35 views评论burp
getshell
Burp+HTTP2攻击面分析
概况截至到目前根据Cloudflare统计,HTTP2.0使用量已经超过了HTTP1.1,但HTTP2.0也有未完善的点,更多的可能是个过渡,所以目前HTTP3.0的使用量一直在呈现上升趋势,但当下H...
05月17日20 views评论burp
攻击面分析
记一次安全扫描工具联动自动化扫描漏洞流程
前言:随着当前网络安全威胁的不断扩展与升级,开展渗透测试工作已经成为众多组织或公司主动识别安全漏洞与潜在风险的关键过程。然而,传统的渗透测试对测试人员的经验水平有很强的依赖,对相关知识的掌握有很高的要...
05月17日79 views评论burp
渗透测试
自动化捡洞/打点必备神器:Venom-Transponder
工具介绍 毒液流量转发器Venom-Transponder:自动化捡洞/打点/跳板必备神器,支持联动URL爬虫、各种被动扫描器;该工具支持在mac/windows/linux等系统上使用。 该流量转发...
05月16日30 views评论burp
扫描器
Burp被动漏扫Tools(附下载)
0x01 工具介绍BpScan: 一款用于辅助渗透测试工程师日常渗透测试的Burp被动漏扫插件。0x02 安装与使用下载releases压缩包,根据自已的需要修改resources中的config.y...
05月14日30 views评论burp
yml
从JS接口到免密登录后台
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。作者感觉这次漏洞的成因可能是由于开发者为了方便调试而增加的接口,但最后忘记删除所致。0x01 &...
05月14日33 views评论burp
js
POC&EXP编写—文件上传案例
0.前言由于都是发自己的文章,所以也不会有那么多的内容发布,一周可能也就更新个两篇,如果工作忙,可能一周就一篇,但是文章都会很细致,暂时只更新学习笔记,至于挖洞思路,小菜鸟还不配。0.1.免责声明传播...
05月13日37 views评论burp
代码执行
mitmproxy高交互自定义代理
背景介绍安装基础使用编写扩展背景在我看来抓包功能和 Burp 一样,但有时候需要对请求和响应高度自定义修改,比如参数中的limit要调整为 50,但offset需要动态调整为0 50 100 150 ...
05月11日65 views评论burp
filter
小程序渗透:Burp+Fiddler+Proxifier
本文由掌控安全学院 - zbs 投稿码领资料获网安教程话不多说,直接先上个效果图:新新的版本哈;好好的抓包哈;然后直接说我如何配置的:准备好三个工具:bp、fiddler、proxifier【也可以用...
05月10日42 views评论burp
小程序
83