前言 Burp Suite是一个无需安装软件,下载完成后,直接从命令行启用即可。开箱即可使用支持LInux/Windows/Mac 01 更新介绍 此版本引入了特定的API 扫描功能,并将 Bambd...
【赏金猎人】2100$的SQL时间注入
什么是时间注入?时间注入漏洞是一种安全漏洞,通常出现在应用程序中,允许攻击者利用应用程序对时间的处理方式来执行恶意操作。这种漏洞可能会导致数据泄露、数据损坏或者未经授权的访问。攻击者可以利用时间注入漏...
安全技能从0到1 | windows抓包微信小程序
本文由掌控安全学院 -zbs 投稿 话不多说,直接先上个效果图: 新的版本哈: 抓包效果如下: 然后直接说我如何配置的: 准备好三个工具:bp、fiddler、proxifier【也可以...
检测domxss插件burp-dom-scanner安装与使用
先说自己的使用体验,dom-xss的扫描一直是很难的问题。这个插件也只能扫很常规的dom-xss,遇到稍微需要判断,或者需要自己构造参数的情况就不行了。该插件依赖domdig。。但搭建还是搭建了,还是...
如何使用GAP-Burp-Extension扫描潜在的参数和节点
关于GAP-Burp-ExtensionGAP-Burp-Extension是一款功能强大的Burp扩展,该工具在getAllParams扩展的基础上进行了升级,该工具不仅可以帮助广大研...
22款burpsuite常用插件
免责声明 安全圈子我最菜(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统...
burp敏感信息扫描插件
前言在日常的测试过程中,我们除了需要关注一些常见的漏洞,有时还需要关注请求是否返回了敏感信息,但是这部分往往也是我们容易忽略的,例如有的将一些敏感信息隐藏在返回包中,不在页面展示,如果返回内容过多,我...
天哪!还有这些逆天的fofa语句?(二)
接上文 天哪!还有这些逆天的fofa语句? 再分享几条,个人觉得比较有意思的fofa语句。 情侣飞行器 之前写过文章的,有兴趣的师傅可以试着翻翻以前的文章去破解密码 fofa语句:"static/js...
【渗透测试】有手就行的任意密码重置漏洞
声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 小技巧 1、根据常见的逻辑对应关系进行修改...
技术分享|微信小程序 Burp+proxifier 抓包详细教程
在日常渗透工作中,有时需要对微信小程序进行抓包渗透。最近在群里跟各位大 佬技术交流的时候发现很多人还不会小程序抓包,在网上搜的教程都零零散散, 还遇见很多坑,这次我就来一个教程,把常常遇见的 坑 都给...
pc小程序抓包-2
之前上一篇文章中,说到了这个proxifier,这个还是可以用,多谢曾哥的文章,比上一篇文章的方法还要好用,proxifier我那一段时间突然用不了,也误导了一些人,抱歉演示环境:Proxifier&...
host头攻击的全自动检测和主动扫描工具 HostScan
=================================== 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,...
61