Wappalyzer 是一个在线服务,可以用来分析暴露在互联网上的网站所用的技术。 官网地址: https://www.wappalyzer.com 通过邮箱注册后可以访问其线上服务。 除了官网的查询...
06月28日14 views评论js
插件
Wappalyzer 介绍
06月28日14 views评论js
插件
06月28日14 views评论js
插件
JsRPC:通过无缝的JavaScript远程过程调用提升前端渗透测试效率
RPC概述 什么是RPC? 全称 Remote Procedure Call——远程过程调用。 在js加密中JsRPC有什么作用? 比如在访问网站时,我们想直...
06月28日62 views评论js
加密
发现跨站脚本包含 (XSSI) 和 JSONP 获得漏洞赏金
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景介绍:废话不多说,挖掘流程(一图胜千言...
06月27日39 views评论js
xss
洞见简报【2023/6/25】
2023-06-25 微信公众号精选安全技术文章总览洞见网安 2023-06-250x1 BootCDN 风险预警,多个资源被植入后门代码墨菲安全实验室 2023-06-25 20:56:0...
06月26日安全新闻117 views评论反序列化
红队
记一次由js突破发现的漏洞
0x01 前言作为一个拿着几 K 工资的安服仔,某一天上级给了一个网站需要挖挖洞。客户不愿意提供测试账号,通过其他位置拿到账号规则,然后进行爆破的时候把账号都锁了,因此还被投诉了。记录一下一天的漏洞挖...
06月24日41 views评论js
参数
echo版| 看我如何玩转Js-fuzz
今天无意看到Aedoo_师傅在freebuf发的两篇js审计文章,我也想写写这块,这玩意空缺还是很大的。 Js到暴露系统服务接口 我们知道,登录后进入系统->系统加载菜单、功能点这些实现依赖接口...
06月22日56 views评论fuzz
函数
Nuxt.js代码执行漏洞
0x00 漏洞编号 CVE-2023-3224 0x01 危险等级 高危 0x02 漏洞概述 Nuxt是一个基于 Vue.js 的通用应用框架,用于构建服务端渲染的应用程序和静态生成的网站。 0x03...
06月22日6 views评论js
漏洞预警
【供应链安全】Bootcss CDN 疑似被投毒
0x01 现象使用手机 Chrome 访问某数码论坛时会自动跳转到奇怪的网站,而且是在帖子加载完成后才动态跳转。不稳定复现,仅在 Chrome 上偶现,Edge 无法复现,桌面浏览器无法复现。主要涉及...
06月21日113 views评论js
恶意代码
某CDN疑似被投毒!
现象 使用手机 Chrome 访问某数码论坛时会自动跳转到奇怪的网站,而且是在帖子加载完成后才动态跳转。不稳定复现,仅在 Chrome 上偶现,Edge 无法复现,桌面浏览器无法复现。 主要涉及的两个...
06月21日157 views评论js
恶意代码
利用 math.js 中的远程代码执行漏洞
本文简要介绍了我们如何发现、利用和报告远程代码执行 (RCE) 漏洞。它旨在成为发现漏洞以及以负责任的方式报告漏洞的指南。第一步:发现在使用math.js API ( ) 的包装器http://api...
06月21日26 views评论eval
js
用户名密码加密的页面爆破学习
前言 目前越来越多的网站系统在登录接口、数据请求接口中加入各式各样的加密算法,甚至有些网站在每次请求前都动态请求加密密钥等措施,对接口渗透工作造成较大障碍,本文简单对登录接口暴力破解时字段被加密,如何...
06月20日19 views评论加密
页面
js前端加密绕过-Jsrpc
前言JSRPC(JavaScript Remote Procedure Call)是一种基于 JavaScript 的远程过程调用协议,用于实现客户端和服务器之间的通信和函数调用。它允许开发人员在客户...
06月19日111 views评论javascript
地址
35