fuzz - 第 9 | CN-SEC 中文网

安全工具

【工具推荐】市面上渗透字典汇总

字典1：SecLists SecLists是安全测试人员的伴侣。它是在一个地方收集的安全评估期间使用的多种类型的列表的集合。列表类型包括用户名、密码、URL、敏感数据模式、模糊有效载荷、web she...

08月04日165 views评论

阅读全文

安全文章

VUE｜如何不使用Fuzz得到网站所有参数与接口？

访问某VUE站点，发现直接重定向要求从飞书登陆，立马抓包丢掉请求了。imagecopy使用JS替换在本地调试修改尝试绕过image copy 2直接全局搜索跳转到url找到原因，把这个注释掉并保存，...

08月04日19 views评论

阅读全文

安全工具

Wfuzz漏扫

Wfuzz wfuzz 是一个用于网络应用程序漏洞分析和渗透测试的工具，它通过对目标的不同参数进行模糊测试来发现潜在的安全漏洞。以下是 wfuzz 的一些常用操作：下载地址： https://git...

08月03日18 views评论

阅读全文

安全工具

JsApiScan：扫描JS中敏感API的Burpsuite插件

JsApiScan 扫描js文件中敏感api的burp插件，支持自动fuzz，过滤http状态码和域名功能设置可设置是否开启自动扫描，过滤请求方法、相应码、MIME响应，配置"Root Dire...

08月03日38 views评论

阅读全文

安全工具

一款强大的burpsuite漏洞扫描插件

目前功能1. fastjson扫描2. 权限绕过扫描3. 未授权检测扫描4. sql注入检测5. 多层级路由扫描6. 工具调用7. log4j检测8. 复杂数据提交9. 一键生成nuclei模板10....

08月01日19 views评论

阅读全文

安全文章

子域名模糊测试实现RCE

正文在之前测试一个私人项目时，我报告了admin.Target.com上的Auth Bypass漏洞，这将导致SQLI&RCE ，该漏洞在报告后仅一天就被修复。现在重拾该应用程序，对子域进...

07月30日13 views评论

阅读全文

安全文章

实战内测-某内测项目站点FUZZ到Sql注入

文章来源: https://xz.aliyun.com/t/15137 0x1 前言下面给师傅们分享的案例呢是前段时间实战的一个站点，也是我朋友前段时间让我测的一个站点。整体的测试流程也还算ok，然...

07月29日21 views评论

阅读全文

安全工具

渗透测试目录扫描字典 DirectoryFuzz

0x01 工具介绍本项目的精华为top5000目录字典和超大js文件字典，当测试空白页面时扫出来'/script/'目录时可以使用超大js目录文件进行扫描，top5000目录字典是我用github上...

07月15日76 views评论

阅读全文

安全文章

WinAFL 实战：探索闭源软件Fuzzing技术

0x01.环境准备WinAFL 是一个模糊测试工具，基于 AFL (American Fuzzy Lop) 的一个变种，专为 Windows 平台设计。模糊测试（Fuzzing）是一种自动化软件测试技...

07月10日44 views评论

阅读全文

安全文章

通过FUZZ的艺术来获取万元赏金

0x01 前言下午，一个老朋友发来一批资产让我找个有效漏洞，原因是厂商弄活动，提交有效漏洞可获取其奖品，那个奖品对朋友很有吸引力。0x02 漏洞背景一个后台系统，称其为http...

07月09日17 views评论

阅读全文

安全工具

GDBFuzz：基于硬件断点的嵌入式系统模糊测试工具

关于GDBFuzzGDBFuzz是一款功能强大的模糊测试工具，在该工具的帮助下，广大研究人员可以使用硬件断点对嵌入式系统进行模糊测试。GDBFuzz的理念是利用微控制器的硬件断点作为覆盖...

07月09日20 views评论

阅读全文

程序逆向

Boofuzz在二进制IOT漏洞挖掘中的简单运用

一正文环境Ubuntu 20.04Python、pip、qemu之类的直接用apt-get下载安装就好。binwalk里有需要用到sasquatch程序，需要手动下载一下，命令如下：sudo git ...

07月04日28 views评论

阅读全文

【工具推荐】市面上渗透字典汇总

VUE｜如何不使用Fuzz得到网站所有参数与接口？

Wfuzz漏扫

JsApiScan：扫描JS中敏感API的Burpsuite插件

一款强大的burpsuite漏洞扫描插件

子域名模糊测试实现RCE

实战内测-某内测项目站点FUZZ到Sql注入

渗透测试目录扫描字典 DirectoryFuzz

WinAFL 实战：探索闭源软件Fuzzing技术

通过FUZZ的艺术来获取万元赏金

GDBFuzz：基于硬件断点的嵌入式系统模糊测试工具

Boofuzz在二进制IOT漏洞挖掘中的简单运用

在线咨询

微信