Kurisu-Christina

摘要： WEB攻防-业务设计篇&隐私合规检测&资源拒绝服务&配合项目知识点：隐私合规-判断规则&检测项目资源拒绝服务-加载受控&处理受控一、演示案例-隐私合规-管理规定&检测分析&项目平台对象：APP和小程序等当APP、小程序在运行的时候，如果需要获取相关权限（例如位置、相册、通讯录等等），需要以弹窗的形式 阅读全文

摘要： 知识点： 1、Fuzz技术-用户口令-常规&模块&JS插件 2、Fuzz技术-目录文件-目录探针&文件探针 3、Fuzz技术-未知参数名-文件参数&隐藏参数 4、Fuzz技术-构造参数值-漏洞攻击恶意Payload Fuzz：是一种基于黑盒的自动化软件模糊测试技术,简单的说一种懒惰且暴力的技术融合了 阅读全文

摘要： 知识点： 1、断点调试&调用堆栈&作用域&控制台分析 2、BP插件发包&安全结合 前置知识 1、作用域：（本地&全局） 简单来说就是运行后相关的数据值 2、调用堆栈：（由下到上） 简单来说就是代码的执行逻辑顺序 3、常见分析调试： 这三种方法针对不同对象(搜索一般用来对付简单的，复杂点的就得用断点了 阅读全文

摘要： Web攻防-验证码安全篇&接口滥用&识别插件&复用绕过知识点：图片验证码-识别插件-登陆爆破&接口枚举图片验证码-重复使用-某APP短信接口滥用一、图片验证码-识别插件-登陆爆破&接口枚举验证码识别绕过等技术适用于：口令存在爆破，接口枚举调用，任意用户注册等安全问题验证码简单机制-验证码过于简单可爆 阅读全文

摘要： Web攻防-机制验证篇&重定向发送&响应状态码&跳过步骤&验证码回传&枚举知识点：1、验证码突破-回归显示&规律爆破2、验证目标-重定向用户&重定向发送3、验证逻辑-修改相应包&跳过步骤URL4、演示案例-SRC验证逻辑挖掘实战一、演示案例-验证码突破-回归显示&规律爆破目标回显显示如响应包中有短信 阅读全文

摘要： 实战SRC支付购买挖掘案例越权让他人支付：https://forum.butian.net/share/1125四舍五入半价购：这个漏洞上次看小伙伴交的补天，获得了厂商1.2k的奖金，如何操作呢，我们来分析分析。我们以充值为例，余额值一般保存到分为止，那么如果我充值0.001元也就是1厘，一般开发会 阅读全文

摘要： Web攻防-支付逻辑篇&篡改属性值&并发签约&越权盗用&算法溢出&替换对冲知识点：1、WEB攻防-购买支付-修改数量&篡改价格&产品订单替换对冲2、WEB攻防-购买支付-优惠券复用盗用&积分对冲溢出 3、实战SRC支付购买挖掘案例支付逻辑常见测试1、熟悉常见支付流程选择商品和数量-选择支付及配送方式 阅读全文

摘要： WEB攻防-业务逻辑篇&水平越权&垂直越权&未授权访问&检测插件&SRC项目 知识点： 1、逻辑越权-检测原理-水平越权&垂直越权&未授权访问 2、逻辑越权-检测工具-BP插件&对比项目 3、SRC挖掘-实战越权及未授权挖掘分享&案例 一、逻辑越权-检测原理-水平越权&垂直越权&未授权访问 水平越权 阅读全文

摘要： JS逆向-混淆加密-识别&还原-Eval&JSFuck&JSJiaMi案例 知识点： 1、JS逆向-混淆加密-方法&意义 2、演示案例-Eval&JSFuck&JSJiaMi案例 一、JS逆向-混淆加密-方法&意义 混淆JavaScript代码主要意义：1、防止代码被逆向工程：混淆使得代码的逻辑变得 阅读全文

摘要： JS逆向-反调试分析&debuger执行&条件断点&替换文件执行知识点：1、演示案例-反调试技术-检测2、演示案例-反调试分析技术-绕过一、演示案例-反调试技术-检测1、重复debugger技术测试网址：https://jishulink.com/video/c246316播放视频点击F12页面就会 阅读全文