有侵权烦请告知,我们会立即删除并致歉,谢谢。 挂代理无法正常通信 http代理: socket代理 Frida hook Spawn模式 frida-trace -H 127.0.0.1:1234 ...
WebSocket攻防对抗安全指南
文章前言在一次做项目的时候本来是想去点击Burpsuite的Proxy界面的HTTP History选项卡来查看HTTP历史请求记录信息并做测试的,但是在查看的时候却下意识的点击到了HTTP Prox...
WebSockets XSS |burpsuite翻译
WebSockets 介绍WebSockets广泛使用在现代web应用程序。它们通过HTTP发起,并在两个方向上提供具有异步通信的长期连接。WebSockets用于各种目的,包括执行用户操作和传输敏感...
详解WebSockets 安全漏洞
点击蓝字关注我们始于理论,源于实践,终于实战老付话安全,每天一点点激情永无限,进步看得见严正声明本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验...
构建 Spectre:用于 XSS 漏洞利用的红队工具(第 1 部分)
介绍 每个红队成员都有他们最喜欢的工具集,但有时当它们都没有完全满足你的需求时,你会碰壁。这就是我在处理基于浏览器的攻击时发现自己遇到的情况,尤其是围绕 XSS 利用的攻击。有很好的工具可以查找 XS...
shiro-websocket内存马
点击蓝字,关注我们吧!前言新坑,关于shiro下注入内存马相关,起因有个师傅问我这么个情况:tomcat环境下shiro打CB反序列化的websocket内存马。调试后发现关于shiro这方面历史知识...
实战 | 网页挖矿分析
点击蓝字 关注我们”免责声明本文章只用于技术交流,若使用本文章提供的技术信息进行非法操作,后果均由使用者本人负责。前言近日,收到设备告警,办公区有用户终端连接了公共矿池地址,本文对整个事件进行了大致描...
【js逆向渗透系列01】利用JSRPC秒杀JS加密
将安全君呀设为"星标⭐️"第一时间收到文章更新声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。文章声明:...
终于见到了 frida 作者
昨天去现场参加了 r2con 2024。之后演讲视频,包括 workshop 将会逐步整理上传。一部分课件已经上传到了 GitHub radareorg/r2con2024,不过不完整。因为我并不是 ...
利用websocket进行水坑攻击
前言在我们获取到目标后台或者一些其他内部员工使用的系统时,为了进一步扩大权限难免会用到水坑这一手段。在使用水坑时避免不了的两个问题:下载后不打开频繁的被分析下载后不打开对于重复上线现在已经有了一些解决...
使用Go编写的瑞数WAF绕过工具
工具介绍 riverPass是一个用Go编写的瑞数WAF绕过工具。它利用了WebSocket协议,将请求发送的自身浏览器中,从而绕过了瑞数WAF的检测。工具特征: 无需安装任意其他工具,只需导入mit...
riverPass 瑞数WAF绕过工具
01工具介绍 riverPass 是一个用Go编写的瑞数WAF绕过工具。它利用了WebSocket协议,将请求发送的自身浏览器中,从而绕过了瑞数WAF的检测。 02工具特征 无需安装任意其他工具,只需...