2023年1月17日
记一次金融站点的验签破解实战
摘要: 概述 近期同事遇到一个金融站点的前端加签验证问题,找到本菜鸡一起帮忙分析。经过测试发现,客户端每次请求都会对数据包进行加签,然后服务端会对数据包进行验签。 解决大概思路:确定加签关键字->分析前端代码获取加签算法->使用burpy插件调用前端加密函数自动对数据包进行加签操作 Burpy:一款burp 阅读全文
posted @ 2023-01-17 13:16 jujuxia 阅读(245) 评论(0) 推荐(0)
2022年1月6日
log4j漏洞一键批量检测【CVE-2021-44228】
摘要: log4j批量检测(CVE-2021-44228) 实现思路: 1、python读取urls.txt所有应用资产 2、调用rad对urls页面进行爬虫 3、爬取到的数据包转发到burp 4、使用burp的log4j插件对数据包所有字段进行POC探测 需要工具: batch_rad.py rad【ht 阅读全文
posted @ 2022-01-06 19:16 jujuxia 阅读(1868) 评论(0) 推荐(0)
2021年10月2日
rad+xray+burp联动脚本
摘要: 代码如下: 1 import os 2 import time 3 import sys 4 import datetime 5 6 def globalPath():#文件路径 7 global xrayPath #xray 8 global radPath #rad 9 global urlPa 阅读全文
posted @ 2021-10-02 14:58 jujuxia 阅读(1982) 评论(0) 推荐(1)
学习安卓APP测试的一些笔记
摘要: 工具 adb: adb.exe devices 查看当前有那些设备 adb.exe connext 127.0.0.1:62001 连接 adb.exe root 使用root权限启动 adb.exe remount 重新安装分区读写 adb.exe shell 进入安卓命令行 adb.exe in 阅读全文
posted @ 2021-10-02 14:33 jujuxia 阅读(814) 评论(0) 推荐(0)
微信小程序安全测试
摘要: 小程序安全浅析 一、小程序简介 小程序渗透测试,归根结底还是在做各种WEB的测试,只是将图形化界面从浏览器移动至微信中。小程序的web后端一般有三种情况: (1)与H5、手机APP、网页使用同一套API系统 (2)与手机APP使用同一套API系统 (3)单独使用一套API系统 可以对后端系统的安全性 阅读全文
posted @ 2021-10-02 14:20 jujuxia 阅读(4408) 评论(0) 推荐(1)
前端加解密插件 | jsEncrypter
摘要: 插件介绍 jsEncrypter:使用phantomjs(一个没有界面的浏览器)启动前端加密函数对数据进行加密,方便对加密数据输入点进行fuzz,比如可以使用于前端加密传输爆破等场景。 项目地址:https://github.com/c0ny1/jsEncrypter 使用场景 在前端渗透过程中,常 阅读全文
posted @ 2021-10-02 13:52 jujuxia 阅读(1771) 评论(0) 推荐(0)