“ 阅读本文大概需要 2 分钟。 ”在一篇公众号文章《别去送死了。Selenium 与 Puppeteer 能被网站探测的几十个特征》中,我们知道目前网上的反检测方法几乎都是掩耳盗铃,因为模拟浏览器有...
移动安全-APP渗透进阶之AppCan本地文件解密
本篇文章由团队大佬 pyth0n 总结编写前言之前渗透app的时候,发现好几款app,拖到jadx里搜不到相关代码,后来发现在assetswidget 目录下有对应的js和html文件,原来都是htm...
electron程序逆向分析心得
electron 是 GitHub 发布的跨平台桌面应用开发工具,支持 Web 技术开发桌面应用,其本身是基于 C++ 开发的,GUI 核心来自于 Chrome,而 JavaScript 引擎使用 v...
如何在浏览器中存储会话令牌
最近有一条关于OWASP ASVS的提议变更的推文引发了一场激烈的争论,并且挑战了我在构建和设计单个页面应用程序时对存储会话令牌的不同策略的理解。虽然以前有很多关于这方面的文章,但我也有了自己的研究。...
强网杯2020-GooExec chrome pwn分析及两种利用思路
更多全球网络安全资讯尽在邑安全前言环境搭建题目环境: ubuntu 20.04启动命令:./chrome --js-flags=--noexpose_wasm --no-sandbox--j...
记一次众测找源码到RCE
作者:水泡泡,来源:先知社区前言某众测项目,一个多端入口系统PC,APP,与及测试后台上来就去后台摸了一下底前端:react认证授权:jwt token框架:springboot+spring mvc...
CVE-2009-0927POC分析
本文为看雪论坛优秀文章看雪论坛作者ID:0346954CVE-2009-0927简介Adobe Reader是非常流行的PDF文件阅读器,在其Collab对象的getIcon函数中存在一个缓冲区溢出漏...
CWFF:一款针对模糊测试的自定义字典工具
CWFFCWFF是一款专用于模糊测试的自定义字典工具,该工具可以帮助广大研究人员以高速并发的形式创建一个特定的高质量模糊测试/内容发现字典。工具说明简单来说,该工具可以使用各种资源来直接收集目标的终端...
工具开发|Burp插件Unexpected_information
Author: xiaoweiTeam: Timeline SecEmail: [email protected]最近写了一个BurpSuite Extensions用来标记请求包中的一些...
渗透测试实战 | 一次信息泄露引发的越权
请点击上面 一键关注!内容来源:先知社区一、概述1、登录逻辑系统开放3012、12017两个端口,前者为身份认证接口,以json形式返回token与权限参数,后者为业务系统,前端调用js-aes对j...
Node.js 和 Python之间如何进行选择?
点击上方“编程派”,选择设为“设为星标”优质文章,第一时间送达!最近,Node.js 和 Python 都因其广泛的特性和功能在市场上大受欢迎。在你开发Web应用程序的后端时,这两种技术都是你的首选。...
记一次解决某SRC加密传输问题+对接Burp进行Fuzz
由于本文受到zyy的暴政骚扰,因此本文会废话少说,骚图少发打开站点:可以看到就一个SSO单点登录,然后简单打点测试下:好家伙,明文传输都给修复了,没事 问题不大 我们去翻翻JS&...
35