微信小程序前端加解密逆向分析
某小程序渗透测试项目,测试时发现请求包内容进行了加密。
【网络安全】网络防护之旅 - Java安全机制探秘与数字证书引爆网络防线
Java安全机制和数字证书管理是当今信息技术领域中至关重要的话题。Java作为一种强大而广泛使用的编程语言,其安全性机制成为保障应用程序安全的核心。该文章深入研究了Java的安全机制,包括JVM、沙盒和安全验证码等关键内容,旨在使读者全面了解Java应用程序安全的基本框架,从而培养对信息安全领域的深
vulnhub靶机dpwwn1
下载完后解压,然后用VMware打开dpwwn-01.vmx文件即可导入虚拟机。80端口没有更多收获,接下来把目光转向3306和ssh端口,尝试爆破账号密码。果然如此,规则是每3分钟,以root身份执行一次logrot.sh脚本。以上没有发现什么有用的信息,继续用nmap漏洞脚本扫描。目录下有一个s
河南省第五届“金盾信安杯”网络与数据安全大赛线上wp
操作内容:拿到压缩包之后发现是伪加密将压缩包中的字符base64解密一次缩小即可得出flagflag值:。
【网络安全】网络防护之旅 - 对称密码加密算法的实现
对称密码加密算法的实现一直是网络安全领域的重要议题。在这方面,研究人员致力于探索和设计各种复杂而高效的加密技术,以应对不断演变的网络威胁。该领域最广泛应用的对称密码加密算法之一是AES(高级加密标准)。AES以其高度的安全性和性能而闻名,通过采用固定长度的密钥对数据进行块级加密。实现AES算法涉及到
Linux 5.15安全特性之landlock
这个示例代码使用了系统调用函数`syscall`,并通过`SYS_landlock_create_ruleset`、`SYS_landlock_add_rule`和`SYS_landlock_restrict_self`指定了Landlock规则,创建了一个Landlock域,并将当前进程限制在该域
20-文件下载及读取漏洞
由于业务需求,很多网站往往需要提供文件(附件)下载的功能块,但是如果对下载的文件没有做限制,直接通过绝对路径对其文件进行下载,那么,恶意用户就可以利用这种方式下载服务器的敏感文件,对服务器进行进一步的威胁和攻击。漏洞利用数据库配置文件下载或者读取后续接口密钥信息文件下载或者读取后续。
Apache ActiveMQ jolokia 远程代码执行漏洞
该漏洞存在于Jolokia服务的请求处理方式中,结合ActiveMQ的配置不当和Java的高级功能,允许已认证的用户通过发送特定格式的HTTP请求来执行危险操作。ActiveMQ的内部配置允许org.jolokia.http.AgentServlet处理来自/api/jolokia的请求,而没有足够
安全运营 -- 100个蓝队溯源技巧(逐步更新)
100个蓝队溯源技巧(逐步更新)记录一些常用的入侵排查命令和日常运维思路分享。(排名不分先后,逐步更新ing)
BurpSuite安装使用和火狐代理配置教程
BurpSuite安装使用和火狐代理的配置。笔者就是用这个方法成功了,有问题可以留在评论区。
BUUCTF中的reverse2
由于近日疫情比较严重,所以还是少出门,少聚集,多看书,多学习。今天来记录一下reverse2的解题过程。
【CTF】SSRF服务器端请求伪造
从本题来看,他说他在baidu.com下放了一个flag.txt,但是试想一下,这个baidu.com是不可能为真正的百度的那个域名的,所以此处这个baidu.com应该为出题者所建的一个目录,所以就是ssrf读文件,我们就想到使用file协议来读取flag.txt这个文件。此处表示,截取所输入内容
VMProtect虚拟机保护及还原
VMProtect虚拟机保护及还原
Vulnhub:DC-1靶场攻略总结!全网最详细!
vulnhub靶机DC-1全网最详细攻略!
JWT安全
因为经过修改所以签名已经无法使用,只需要复制头部和payload(payload后面的点不要忘记复制)jwt由三部分组成:头部(Header)、载荷(Payload)、签名(Signature)先将burp抓到的数据包发送到repeater模块,然后将内容覆盖。载荷的admin修改为true也进行b
Linux 5.15安全特性之ARM64 PAC
1. 硬件支持:ARM64架构中引入了一系列新的指令,如指针加密指令(PACIA、PACIB、PACDA、PACDB)和指针验证指令(AUTIA、AUTIA1716、AUTIB、AUTIB1716、AUTDA、AUTDA1716、AUTDB、AUTDB1716),用来处理指针的加密和验证。需要注意的
前端常见的加密算法介绍
在业务http请求中,AES的密钥在前端随机生成,从服务器获取RSA的公钥,对AES的密钥进行非对称加密,把加密后的密钥在请求头中传给服务器,用AES对body进行加密。服务器收到请求头中的加密后的密钥,用RSA的密钥进行解密,得到明文的AES密钥,即可对body进行解密。md5有校验字符串一致性的
泛微移动管理平台E-mobile lang2sql接口任意文件上传漏洞
e-mobile可满足企业日常管理中的绝大部分管理需求, 诸如市场销售、项目、采购、研发、客服、财务、人事、行政等;同时e-mobile可帮助企业实现面向不同用户量身定制的移动办公入口,包括企业员工、供应商、代理商、 合作伙伴、投资费以及终端客户等整个供应链条上的关系主体,满足为企业全方位的移动办公
使用Docker一分钟安装AList并实现外网访问
总的来说,AList 是一款功能全面、易用性强的文件挂载应用,适用于各类用户在不同场景下的文件管理需求。试了一下这几个方法,最终还是使用了【传送门】https://solopace.doaction.pro/这个方法,简单易用,连接稳定,无需购买硬件,用户体验比较优秀,免费版本支持2台电脑,要支持更
首次使用BurpSuite中出现的种种问题分析及处理办法
BurpSuite初次使用后各类处理
