点击蓝字,关注我们xnLinkFinder这是用于发现给定目标的端点(和潜在参数)的工具。它可以通过以下方式找到它们:抓取目标(传递域/URL)抓取多个目标(传递域/URL 文件)在给定目录中搜索文件...
仅供学习!某校园系统渗透案例分享
登录框爆破首先使用burp抓包使用爆破模块进行登录爆破(过程简单直接省略)爆破成功,账号密码为admin/123456,开始尝试登录,点击登录之后没有反应。上burp抓包查看原因,一个包一个包的放,最...
xia_Yue (瞎越) - burp 插件主要用于测试越权、未授权
相信我们可以在一起很久很久,直到时光不朽。xia_Yue (瞎越):burp插件主要用于测试越权、未授权注意默认使用jdk1.8编译在最新版的burp2.x中jdk为1x,会导致插件不可用,请下载jd...
macOS Burp2021安装配置
本文主要记录了macOS平台下关于BurpSuite Pro 2021的安装和使用,其他平台的可以进行参考之前一直使用的是BurpSuite2020.2.1,最近看到许多大佬都开始使用2021版本了而...
Burp Extender Apis 插件开发 (一)
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必...
请求头注入神器 -- BurpHeaderHelper
=================================== 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,...
《跟着表哥学渗透》之密码破解(二)
暴力破解是在web安全中常遇到的GJ手段之一。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。理论上,大多数系统...
实战|绕过waf执行命令到拿下卡巴斯基管理端
作者:djhons, 转载自FreeBuf.COM入口点打开页面是一个登录点,下面有个忘记密码的点,这个点是通过手机号找回密码,直接单引号就发现了一个sql注入。绕过waf os-shell直接上sq...
JWT Support for Burp
JSON Web 令牌 (JWT) 支持 Burp 拦截代理。JWT4B 将允许您即时操作 JWT,自动执行针对 JWT 的常见攻击,并在代理历史记录中为您解码。JWT4B 自动检测“授权承载”标头形...
BurpSuite插件AuthMatrix,用于检测越权漏洞问题
BurpSuite AuthMatrix插件AuthMatrix 是一个Burp Suite扩展,用于检测权限授权问题,设置好session就能进行自动化测试。相似功能的插件还有:BurpSuite ...
Burp Autorize 插件-越权检测工具
AutorizeAutorize 是 Burp Suite 的自动授权强制检测扩展。它是由应用程序安全专家 Barak Tawily 用 Python 编写的。Autorize 旨在通过执行自动授权测...
SRC挖掘思路(十四)
文章来自" bgbing安全",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!)本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码!1.前言信息泄露随处可见,看你细不细2.前置...
82