一.引子平平无奇的周三,小雷同学又接到了任务测试某校xx系统。二.特征盲注拿着甲方爸爸给的账号密码直接登录该校一卡通系统,一番查找后点进了"丢卡查询"功能点。里面只有一个功能点看是…
一、简介对于常见的web或者h5的场景中,一些重要的系统都会对于参数或者敏感数据进行校验,防止被恶意篡改而利用。因此在安全测试过程中,对于一些越权、注入等测试,需要对参数值进行修改…
一、起因在某个无聊风和日丽的下午,为了消磨时间打算挖一下edusrc,在重置密码的页面发现请求数据进行了加密,于是决定逆向看看......重置密码页面拿到一个学号之后点下一步就能看…
分析查看登陆包,username和password有加密定位到加密函数入口,这里搜索name和pwd出现文件过多,我们搜索请求包的其他参数,比如uid成功定位到发包的位置这里u和l…
前言当我们遇到一些前端加密的时候,通常我们会去逆向JS,找到加密函数,然后使用burp插件或者python实现加密,这样我们还需要扣一些细节去补环境,下面介绍利用JSRPC的方法(…