摘要:
在appscan暴出一个关于跨站点脚本编制的漏洞,但是appscan并不能完整地显示该漏洞。于是,工具是否出现误报,需要通过自己手工验证。 然后,我们需要找到目标参数的包并分析是从哪个步骤提交给服务器的。使用burp手动抓包。 由于当时没有设置好中文编码,导致显示乱码。当时并不影响我们的测试。我们先 阅读全文
posted @ 2018-04-25 16:05
Xiao世
阅读(330)
评论(0)
推荐(0)
摘要:
有时候,在测试中,发现开发仅仅只是加密了密码就行了。因为他认为,只要用了不可逆的加密算法,你怎么破解,也没法知道密码是多少。但是,事实并不能这样。 1、抓取登录的账号和密码 包中显示的密码是加密后的字符串,但是我们可以不去破解这段密码。而是....... 2、让我们再抓一段密码是我自己乱打的字符串, 阅读全文
posted @ 2018-04-25 14:35
Xiao世
阅读(1762)
评论(0)
推荐(0)
浙公网安备 33010602011771号