js文件 | CN-SEC 中文网

安全文章

金融行业众测泄露挖掘

声明本文章所分享内容仅用于网络安全相关的技术讨论和学习，注意，切勿用于违法途径，所有渗透测试都需要获取授权，违者后果自行承担，与本文章及作者无关，请谨记守法。前言此网站为某金融类型的众测业务，该漏洞简...

05月18日12 views评论

阅读全文

安全文章

一次有趣的前端加密对抗分享

前言一次有趣的密码加密爆破分享，仅供学习参考，如需转载请声明原文链接寻找登录加密点首先按住ctrl+shift+i打开开发者调试界面然后找到网络页面，随便输入账号密码提交一次查看启动器，直接点击蓝色的...

04月21日17 views评论

阅读全文

安全文章

一次VUE环境下的渗透测试

测试过程很久之前的一次测试，目标网站界面如下点击哪个地方都是跳转到登录界面，只能验证码登录，也没有注册功能打开F12看下js文件，一眼就是VUE的框架先打开这个js文件，复制最后那一段字符来到前面那个...

04月21日9 views已关闭评论

阅读全文

安全文章

Node1靶机通过教学

一、主机发现arp-scan -l得到靶机ip为192.168.55.152二、端口扫描、目录枚举、漏洞扫描、指纹识别2.1端口扫描nmap --min-rate 10000 -p- 192.168....

03月30日5 views评论

阅读全文

安全文章

通过不断FUZZ获取到万元赏金

0x01 前言下午，一个老朋友发来一批资产让我找个有效漏洞，原因是厂商弄活动，提交有效漏洞可获取其奖品，那个奖品对朋友很有吸引力。0x02 漏洞背景一个后台系统，称其为http...

03月30日18 views评论

阅读全文

安全文章

利用JS文件挖洞

前言一次渗透测试中，白帽小哥发现了 2 处 CSRF 漏洞，但不幸的是 CSRF 不在赏金范围内。于是小哥开始尝试搜索JS文件，白帽小哥通常的做法是利用Chrome的开发者工具搜索特...

03月16日11 views评论

阅读全文

安全文章

如何通过搜索JS文件找到存储XSS的故事

前言一次渗透测试中，白帽小哥发现了 2 处 CSRF 漏洞，但不幸的是 CSRF 不在赏金范围内。于是小哥开始尝试搜索JS文件，白帽小哥通常的做法是利用Chrome的开发者工具搜索特定的关键字或A...

03月15日2 views评论

阅读全文

安全百科

BurpSuite使用Trips-304状态码解决

起因做渗透的时候发现js文件请求都是304。原因是请求头存在两个请求头If-None-Match: W/"67652d7f-2cf4"If-Modified-Since: Fri, 20 Dec 20...

03月11日19 views评论

阅读全文

安全工具

敏感信息及路径扫描工具-FindSomething本地移植版

工具介绍本项目基于残笑大佬的FindSomething插件进行的本地移植版，可对指定的目录下的所有html、js文件或单个html、js文件进行扫描并获取敏感信息，也可对指定的站点列表进行批量扫描。必...

03月10日78 views评论

阅读全文

安全文章

API接口测试中的隐藏宝藏

0x01 前言有时候JS插件/工具爬取JS文件所获取到API和Uri信息可能并不完整。此时就需要通过手动调试和分析，从F12调试工具中的Source入手，挖掘隐藏在JS文件中的敏感信息，结合官网文档...

03月10日209 views评论

阅读全文

安全博客

记一次XSS挖掘过程

最近在挖SRC，记录一下一些有趣的漏洞这个站整体安全性挺高，测了许久也不见有什么问题，就把精力放在了可能遗漏的接口上，遂在一个接口页面引入的js文件里面又找出一个接口地址（目录扫描没有发现），简单浏...

02月27日10 views评论

阅读全文

安全文章

记一次js泄露致任意文件读取到getshell

前言：本文中涉及到的相关漏洞已报送并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。系统是从一篇文章强特征提取，从而有了本次的渗透。开局登录框:弱口令+sql注入均无果...

02月19日21 views评论

阅读全文