Botgate_bypass 简介:绕过瑞数waf的动态验证机制,实现请求包重放,可针对不同网站使用。 项目地址:https://github.com/R0A1NG/Botgate_bypass 瑞数...
安卓Cocos2dx-js游戏攻防
前言目前市面见到的手游有很多是cocos2dx类型,我将以自己的经验对它做一个简单的逆向和保护的讲解。分析流程1、 特征识别Cocos2dx类型的游戏,在安装包lib目录下,会有libcocos2dj...
记一次对某学生档案管理系统的渗透测试
0x0声明 由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人承担,Cyb3rES3c及文章作者不承担任何责任。如有侵权烦请...
jsweb-判断js+js代码审计
什么是JS渗透测试?在Javascript中也存在变量和函数,当存在可控变量及函数调用即可产生漏洞JS开发的WEB应用和PHP,JAVA,NET等区别在于即便没有源代码,也可以通过浏览器的查看源代码获...
YApi开放注册导致rce漏洞
漏洞简介 YApi是一个基于Node.JS开发的API管理工具。如果启用了YApi服务器的注册,攻击者将能够在Mock页面中执行任意Javascript代码。2021年7月7日互联网上披露YApi管理...
js前端解密-HMACSHA256加密算法
访问网址,填入验证码1234查看数据包直接修改验证码,发现验签了从js代码中分析一下签名如何生成查看jwt关键字即可发现此处js代码在上面居然要一划拉就看到了加密算法下断点确实走这边,后发现iss是固...
记一次从js代码到任意用户登录
兄弟们,依旧是我,那个美貌与智慧并存 才华与气质兼备的男人!清晨,一抹阳光洒在了我的脸上,哎,苦逼的打工人又要起床去日站。言归正传,开始一:开始操作依旧是熟悉的后台,开始正常操作,爆破and扫目录全是...
XSS漏洞检测和利用 | 干货
XSS漏洞原理 XSS漏洞是一种跨站脚本攻击,攻击者通过构造恶意脚本传入服务器,并且被当成前端脚本执行了。 XSS分类 反射型XSS 反射型XSS是攻击者将恶意脚本注入到请求参数中,服务器将参数返回给...
XSS漏洞检测和利用
获网安教程免费&进群 本文由掌控安全学院-anchorubik投稿XSS漏洞原理XSS漏洞是一种跨站脚本攻击,攻击者通过构造恶意脚本传入服务器,并且被当成前端脚本执行了。...
G.O.S.S.I.P 阅读推荐 2023-03-17 XGuard
又到了“G.O.S.S.I.P和朋友”时间,今天推荐的这篇CCS 2022论文 Understanding and Mitigating Remote Code Execution Vuln...
实战案例 | 通过js代码查看构造url参数登录绕过渗透
开局登录框,问题先不慌,burp抓包爆破弱口令走一下,密码是md5加密的,直接使用burp自己带的加密进行加密爆破:这里没有爆破成功,那就上目录扫描工具看看,有没有什么目录或者文件(这里我喜欢用dir...
渗透中的JavaScript_eval函数
1 漏洞简介在测试过程中遇到了,Response返回js代码中存在eval()函数,记录一下利用过程。2 漏洞发现测试某个网站时,无意发现该返回包JavaScript中存在eval函数追踪一下是从哪个...