js文件 - 第 5 | CN-SEC 中文网

安全文章

漏洞挖掘｜我的万元赏金秘籍

0x01 前言看到标题也许有人会觉得这是夸大，但笔者可以负责任的说HaE给我带来的价值远超十万元。大多数人只是把HaE当作一个敏感信息发现的工具，而实际上如果你可以深入了解HaE，了解它每个规则，基...

09月21日30 views评论

阅读全文

安全文章

实战中获取JS文件的各种场景

1.前言在前面的几篇文章中，我们先是介绍了如何从JS里提取一些信息，然后介绍了如何从JS里提取参数以辅助测试。但是还有一个至关重要的问题我们没有解决，在不同场景下，我们获取JS的方法会有差异，而且目的...

09月18日19 views评论

阅读全文

安全文章

我们需要从JS文件里提取哪些信息？

1.前言关于JS在渗透测试中的关键作用，想必不用过多强调，在互联网上也有许多从JS中找到敏感信息从而拿下关键系统的案例。大部分师傅喜欢使用findsomething之类的浏览器插件，也有使用诸如Une...

09月13日102 views评论

阅读全文

安全文章

渗透测试常见加密算法JS逆向实战（一）

公众号登陆加密算法JS逆向在登陆时查看数据包发现密码字段被加密了查看调用栈信息，找到一个执行了post方法的js文件重点关注跟login相关的js文件下断点进行调试在执行这一行之前是明文密码执行之...

08月18日18 views评论

阅读全文

HW&HVV

HW实战 | 记某次目录遍历到文件上传

0x01 前言某次攻防中，测试某个asp.net的站发现存在目录遍历，读取js文件，尝试寻找到了上传地址进行文件上传getshell 0x02 正文访问该系统，浏览器F12查看Sources，可以...

08月15日32 views评论

阅读全文

安全文章

基于Vue开发的前端系统中寻找后端API及其参数

扫码领资料获网安教程文章来源: https://xz.aliyun.com/t/14686前言在日常渗透工作中，常常遇到后台系统，且有相当一部分是自研开发的系统，没有源代码，没有弱口令漏洞，也没有sw...

07月31日15 views评论

阅读全文

安全文章

记一次在aes加密中获取密钥

欢迎转发，请勿抄袭在某次渗透过程中，发现数据传输过程使用了aes加密。前后多次调试，没有见到明文密钥。后面发现使用了某个方法返回了一串数组方式。再通过数组还原成用于字符串加解密。同时...

07月26日41 views评论

阅读全文

安全文章

如何在aes加密中获取密钥

07月23日159 views评论

阅读全文

安全文章

JS逆向调试之动态替换

“ 大部分情况下在对有js加密的网站进行渗透测试时，是需要对算法进行逆向分析Debug，获取和修改明文，再利用aotodecoder等插件实现数据包的明文接发。不过亦存在没办法直接模拟或者抽离加解密函...

07月10日112 views评论

阅读全文

安全文章

通过FUZZ的艺术来获取万元赏金

0x01 前言下午，一个老朋友发来一批资产让我找个有效漏洞，原因是厂商弄活动，提交有效漏洞可获取其奖品，那个奖品对朋友很有吸引力。0x02 漏洞背景一个后台系统，称其为http...

07月09日17 views评论

阅读全文

安全文章

js逆向案例-极验4代九宫格与语序点选

提示！本文章仅供学习交流，严禁用于非法/商业用途文章如有不当可联系本人删除！涉及加密：AES-CBC与RSA与guid与md5/sha1/sha256 网址base64： aHR0cDovL2N4...

07月08日150 views评论

阅读全文

安全文章

webpack打包站点，js批量获取思路

本文由掌控安全学院 - 我是大白投稿 webpack理解首先理解一下什么是webpack，webpack是一项js应用程序打包的技术或者说是一种工具，它主要用于把应用程序当中的一些模块构建起依赖关...

07月05日29 views评论

阅读全文

漏洞挖掘｜我的万元赏金秘籍

实战中获取JS文件的各种场景

我们需要从JS文件里提取哪些信息？

渗透测试常见加密算法JS逆向实战（一）

HW实战 | 记某次目录遍历到文件上传

基于Vue开发的前端系统中寻找后端API及其参数

记一次在aes加密中获取密钥

如何在aes加密中获取密钥

JS逆向调试之动态替换

通过FUZZ的艺术来获取万元赏金

js逆向案例-极验4代九宫格与语序点选

webpack打包站点，js批量获取思路

在线咨询

微信