摘要:
在appscan暴出一个关于跨站点脚本编制的漏洞,但是appscan并不能完整地显示该漏洞。于是,工具是否出现误报,需要通过自己手工验证。 然后,我们需要找到目标参数的包并分析是从哪个步骤提交给服务器的。使用burp手动抓包。 由于当时没有设置好中文编码,导致显示乱码。当时并不影响我们的测试。我们先 阅读全文
摘要:
有时候,在测试中,发现开发仅仅只是加密了密码就行了。因为他认为,只要用了不可逆的加密算法,你怎么破解,也没法知道密码是多少。但是,事实并不能这样。 1、抓取登录的账号和密码 包中显示的密码是加密后的字符串,但是我们可以不去破解这段密码。而是....... 2、让我们再抓一段密码是我自己乱打的字符串, 阅读全文