记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

BurpSuite中的安全测试插件推荐

0x00 前言 Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。 无论是收费版还是免费版,Burp Suite 这个软件都提供了一定数量的插件,这些插件极大的方便了我们平时的渗透工作。在BAPP Store中有很多开发好的插件代码,可以下载下来,安装后,在指定的目录下面会有相应的python代码或者jar包存在,这些都是很好的学习代码,推荐几个比较好用的插件: 0x01 AuthMatrix AuthMatrix是一款用于检测越权漏洞的Burp Suite插件,设置好session就能进行自动化测试。 项目主页:https
发布时间:2016-10-11 14:00 | 阅读:184454 | 评论:0 | 标签:工具 AuthMatrix BurpKit burpsuite BurpSuite插件 BurpSuite漏洞扫描 by

Redis远程代码执行漏洞(CVE-2016-8339)

漏洞编号 CVE-2016-8339 概要 Redis数据结构存储在处理客户端输出缓冲区限制选项配置设置命令中存在越权漏洞。一个精心构造的配置命令可以导致越权代码执行。 测试版本 Redis-3.2.3 产品官网:http://redis.io 漏洞详情 Redis在内存中的数据存储结构使用简单的key-value形式。Redis由于它有能力处理其他数据库无法解决以及速度缓慢的问题而日益普及。 在客户端输出缓冲区限制选项的修改过程中使用配置命令存在一个越权漏洞,设置客户端输出缓冲区限制选项的所需的语法如下所示。 这个选项设置为断开客户某一类的限制。此选项将使用下面的代码: 在解析客户端输出缓冲区限制调用getclienttypebyname用于检索相应的类的类型。在这种情况下,getclienttypeby
发布时间:2016-10-10 21:50 | 阅读:126355 | 评论:0 | 标签:Web安全 redis 代码执行 客户端配置 越权漏洞 输出缓冲区限制 漏洞

讲讲越权那些事

简要 越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽未对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。​ 如何发现越权 为了不影响厂商的正常用户数据,通常在测试前,会注册两个帐号,来进行测试越权,测试越权时大家需要准备两个东西: Firefox burp suite 不管是正常模式和隐身模式的Firefox走的都是同一个代理,所以不需要重新进行设置,关于如何设置代理之类的内容,笔者在这里就不写了 :),写得太基础容易被吐槽,两个帐号暂且称为攻击者A、受害者B,笔者使用Firefox普通模式与隐身模式分别登录两个不同的帐号,如图所示:  
发布时间:2015-01-14 20:15 | 阅读:118296 | 评论:0 | 标签:安全文献 030001 Burp Suite feng 漏洞时间 讲讲越权那些事 越权 越权漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词