影响版本 通达OA 2017版 通达OA V11.X<V11.5 环境搭建 安装包来自黑白之道(https://mp.weixin.qq.com/s/moxuMnaqzXg-tZ7_2oLxbQ) 下载安装包后一键安装即可 链接: https://pan.baidu.com/s/1eel1BxEc0XE4PqlA7y7-Tw 提取码:ilj1…
XSS绕过速查表 资料 https://www.yuque.com/pmiaowu/web_security_1/cs5l14 https://www.yuque.com/pmiaowu/web_security_1/scwgqm https://www.yuque.com/pmiaowu/web_security_1/scwgqm#JFw3a 过…
前言 还债ing,之前一直觉得自己sql学的不好所以最近打算重新学习一遍 参考链接 很大程度上借鉴了p喵呜大师傅的文章,包括写这篇文章的念头也是因为看了p喵呜师傅的文章,结构会比较相近但是内容是自己书写加上了自己的理解 https://www.yuque.com/pmiaowu/web_security_1/mbwgtd 基于MySQL的SQL注入…
前言 书接上回,既然弄出了js前端加密那么后面如果要爆破的话如何做到呢,花了一些时间研究了c0ny1/jsEncrypter的burp插件拓展发现很好用,但是如果我们要自定义加密算法的话需要自己修改代码,但是网上又没有比较详细的自定义算法的文章,所以便打算记录一下爬坑日记 Js编辑 c0yn1师傅的github项目地址为: https://gith…
前言 这几天在挖掘某SRC的时候一直遇到前端加密的问题,所以也对应的研究了一下,过程中学到了很多东西,为了加深印象故记录一番 分析 首先我们f12看netword包,我们可以看到我们的数据是被加密了 既然在传输过程中进行了加密,那么加密很有可能就是前端加密的,所以在js文件里肯定含有加密的逻辑以及加密的算法,这时候通过开发者工具查看该网站的js文件…
前言 在漏洞挖掘中经常会遇到 sign (签名) sign的出现是为了防止数值的篡改,但是身为学习安全,我们就是要进行篡改,不能改的地方我们偏要改 233 签名校验 首先在知道签名校验之前,我们需要思考为什么会出现签名校验这个东西,签名校验出现的目的就是为了防止url中的参数被修改,如果在一些特定的接口中我们不进行签名的校验很有可能就会存在安全问题…
前言 在漏洞挖掘的过程中,我们总会遇到对数据包进行加密的情况,很多人因为这个加密从而放弃继续挖掘,今天记录一下一个加密解码修改的一个例子,虽然最后好像那个地方尖括号被转义了但我仍然觉得记录下来后面看看会很有收获 某SRC页面 这里是某src的一个资料收集页面 这里我们填写资料我们无法对user_id进行一个修改,正常思路我们其实可以在数据包中进行修…
声明 本文的资料全部来源于 https://juejin.im/post/5c6e87af51882523f02666a6 由于怕后面作者文本失效等问题所以打算自己记录一下 前言 因为有时候敏感信息泄漏会存在在ipa中,需要我们需要获取对应app的ipa包。 ipa包全称:iPhone Application 和安卓的pkg差不多 所以我们得到ip…
前言 之前在帮一些师傅弄东西的时候需要直接通过git上传上去 但是有时候总会遇到冲突或一些问题,然后git之前没有真正学过只会那么几个简单的操作,所以每次遇到都要去谷歌 ,蛮麻烦的干脆学一下好了。 快速上手 这几行基本满足普通的上传操作了 初次使用 git init git本地仓库初始化 git add . 将所有的文件加入到仓库之中 git co…
这篇文章受密码保护,输入密码才能阅读