安全文章

从JS文件挖掘RCE

某次渗透过程中碰到了个设备产品,通过一些黑盒测试小技巧获取目标权限 信息收集 首先拿到了目标,同样也需要对设备进行信息收集,登录页面有滑块验证和账号密码请求包加密 暂时先放弃从JS里获取密码加密方法,...
admin 06月09日62 views评论js status
阅读全文
安全文章

大力出奇迹之js文件爆破

0x01 引言当我们遇到一个登录框或者统一授权登陆(SSO)的时候,一顿瞎操作,sql注入不成功,账户密码爆破不出来,源代码找不到,端口扫描没有结果。此时总是苦于不知道该如何进一步做渗透测试和漏洞挖掘...
admin 06月07日49 views评论fuzz 视频
阅读全文
安全文章

JavaScript静态分析

讲故事某人邮件收到,预订酒店50%折扣活动。预订过程中出现了问题,信用卡已过期,某人试图联系银行。银行回应的是需要15个工作日。某人开打浏览器中的开发人员工具在网站上进行长时间的探索。发现了以下内容:...
admin 05月15日37 views评论javascript js
阅读全文
安全文章

渗透小技巧分享

感谢方九夜师傅提供的文章“ 引言部分,总领全篇文章的中心内容。”正文内容从这里开始(可直接省略,亦可配图说明)。01—现在大部分的项目,只有一个登录框,除了尝试一些历史漏洞以及功能点测试。很...
admin 05月11日44 views评论js文件 replace
阅读全文
安全文章

记一次登录框渗透测试

前言在进行渗透测试的时候,经常会遇到许多站点,都是基于一个登陆接口进行处理的。尤其是在项目上,客户常常丢给你一个登陆网站页面,没有测试账号,让你自己进行渗透测试,一开始经验不足的话,可能会无从下手。今...
admin 04月24日247 views评论渗透测试 页面
阅读全文