本文作者Rookie,预计阅读时间7分钟 URL重定向漏洞 漏洞信息 URL重定向漏洞是由于目标网站未对程序跳转的URL地址及参数做合法性判断,导致应用程序直接跳转到参数中指定的的URL地址。 攻击者...
08月20日70 views评论js
插件
URL重定向漏洞检测插件
08月20日70 views评论js
插件
08月20日70 views评论js
插件
JS逆向 -- 某网站DES算法分析
一、访问目标网站,打开F12开发者工具,然后开始抓包 二、抓到一个登录包,密码加密了,我们输入的是123456,在这里显示的是 三、全局搜索,点击开发者工具右上角的三个点,选择搜索,输入关键字“Pas...
08月19日36 views评论js
加密
红蓝对抗 | HVV之未授权访问合集
文章来源:https://forum.butian.net/share/1877 侵删公众号:浪飒sec在网站前后端分离盛行下,将大部分权限控制交给前端,导致js中隐藏未授权或者可绕过的前端鉴权。前后...
08月10日117 views评论hvv
未授权
渗透|记一次不存在的加解密实战渗透
0x00 起因某天做梦,梦见老板让我对这个网站渗透,我打开一看,诶!!!前端js加密???0x01 入手1.相信不少小伙伴在渗透过程中都遇到过,抓包中存在着一些加密传输字符。2.当我们作为一个毫无办法...
08月02日36 views评论函数
加密
记一次不存在的加解密实战渗透
0x00 起因对这个网站渗透,我打开一看,诶!!!前端js加密???0x01 入手1.相信不少小伙伴在渗透过程中都遇到过,抓包中存在着一些加密传输字符。2.当我们作为一个毫无办法的新手时,我们需要做的...
07月24日26 views评论函数
加密
【Tips】JS 逆向—某登录界面RSA加密算法
Tips +1 RSA算法介绍 RSA加密算法是一种可逆的非对称加密算法,即RSA加密时候用的密钥(公钥)和RSA解密时用的密钥(私钥)不是同一把。基本原理是将两个很大的质数相乘很容易得到乘积,但是该...
07月22日144 views评论函数
加密
vue站点渗透技巧及实战到getshell
vue介绍1.Vue.js是用于构建交互式的 Web 界面的库。2.它提供了 MVVM数据绑定和一个可组合的组件系统,具有简单、灵活的API。从技术上讲,Vue.js集中在MVVM模式上的视图模型层,...
07月20日460 views评论地址
插件
【渗透测试】Vulnhub靶场之HACK ME PLEASE
暗魂攻防实验室 0x01 信息收集 国内起手式nmap,开启了80和3306端口 nmap -sS -T4 192.168.108.128/24 访问网页是这样的 0x02 WEB渗透 随便点点,发现...
07月19日53 views评论js
seeddms
实战中常见的逻辑漏洞
0x01 未授权 未授权问题为普通用户登录或没有登录后,拼接js接口,构造报文,越权实现管理员的权限操作。原因:后端没有校验Cookie/Session的身份信息,以至于普通用户的权限可以实现管理员权...
07月05日40 views评论js
信息
HW现场-地级市HVV | 未授权访问合集
目录0x00 前言0x01 案例一某事业单位接口泄露发现过程小结0x02 案例二某建工公司档案库越权访问发现过程小结0x03 案例三某JJ支队后台到代码泄露发现过程小结0x04 案例四某大数据公司系统...
06月30日111 views评论hvv
未授权
VX小程序逆向分析
Frida虽然确实调试起来相当方便,但是Xposed由于能够安装在用户手机上实现持久化的hook,至今受到很多人的青睐,对于微信小程序的wx.request API。 本文将以该API作为用例,介...
06月28日14 views评论frida
js
通过分析前端js引发的SQL注入fuzz绕过代码层面和waf层面的双重防御
从js入手,审计js找到接口到直接将管理员的用户名和密码写在了上面,发现还是弱口令,最后成功登录进去测试每个功能点发现存在SQL注入后进行fuzz绕过代码层面和waf层面的双重防御。 过程 这里在挖掘...
06月28日5 views评论js
sql注入
35