项目地址:GitHub https://github.com/google/fuzzing 中文对照什么是模糊测试模糊测试 (fuzz testing, FUZZing)是一种软件测试技术。其核心思想...
记一次在买书过程中发现的短链接安全
本篇文章作者YanXia,本文属i春秋原创奖励计划https://bbs.ichunqiu.com/thread-63288-1-1.html,未经许可禁止转载。最近遇到了一个之前没有想到点,今天与大...
一个基于fuzz的waf绕过测试工具
工具介绍 一个基于fuzz的waf绕过测试工具,当前支持命令执行绕过。后续会支持更多绕过方式、攻击类型。 Usage of ./client: -debug-file-path st...
CovRL-Fuzz:基于大模型变异的JavaScript解释器模糊测试技术 | 技术进展
基本信息原文名称:Fuzzing JavaScript Interpreters with Coverage-Guided Reinforcement Learning for LLM-Based M...
RHG & AutoPwn Robot竞赛技术结构详解
赛制国内现有的自动化攻防的比赛有bctf的autopwn,以及rhg比赛,这是国内主要的两场自动化挖掘利用的比赛,还有国外的CGC比赛,本文主要讲的是这两种比赛的Robot结构。下图是选手整体的一个接...
通过模糊测试收获$35,000赏金奖励
背景介绍 今天来分享一位全职白帽Abdullah Nawaf的故事, 目前他在BugCrowd中排名前 50,P1 漏洞排名 11,主要挖掘 P1 和 P2 漏洞。本文主要讲述了利用子域Fuzz,将多...
定向Fuzz技术概述
逆向与漏洞挖掘实验室,点击蓝字关注定向Fuzz技术概述 定向Fuzz的概念出现在2017年[1],其设计理念与传统Fuzz截然不同:我们假设一个应用场景,我们只想知道某一个函数(或某一个代码段)...
简单的order by注入记录
时间过的很快,回过神来的时候发现明天就是2025年了,又老了一岁。在这里祝各位师傅新年快乐!这篇纯炒冷饭,简单的记录下毕竟也遇到不少。 0x00 sql语句这里就简单的模拟源码中sql语句select...
浅谈个人研究侧的ai代码审计思路
前言前段时间迷上了联动ai做代码审计,看了很多大哥们写的论文比如gptscan的原理,又或者fuzzgpt,又如google的naptime项目原理。如naptime原理图也尝试训练了一些,但是后面又...
深层js文件爬取利用工具,jjjjjjjjjjjjjs工具+JSFinder工具使用,快速的帮助我们进行渗透测试
前言 当我们获取一个网站的url的时候,往往需要进行页面链接的爬取,js文件的爬取,从而获取更多的url和隐藏路径,以及一些api接口,可以快速的帮助我们进行渗透测试。这里给大家推荐两个工具 jjjj...
【论文速读】| 利用人工智能修复 OSS-Fuzz 中的安全漏洞
基本信息原文标题:Fixing Security Vulnerabilities with AI in OSS-Fuzz原文作者:Yun Tong Zhang, Jiawei Wang, Domini...
js敏感信息扫描工具
前言在进行测试的过程中,我们往往需要从js中提取一些信息来帮助我们进行测试。本篇文章介绍两个自动化发现js中敏感信息的工具。分别是URLFinder和findsomething。URLFinderUR...
34