针对前端加密爆破的方法及实战案例
一 、概述
现在基本上大部分web应用系统都在后台登录界面对密码使用了js加密,有的是将用户名密码同时进行了加密,对于使用了加密的我们可以利用burp插件直接调用加密函数本地加密后再进行爆破,也可以使用一些工具直接模拟浏览器登录界面进行爆破。
二、工具介绍
1、blasting(图形化爆破工具)
优点:可自动化进行爆破和验证码识别,无视加密方法,调试难度较低
缺点:结果只有title和响应长度,爆破结果可能存在误报
下载方式:https://github.com/gubeihc/blasting
2、jsEncrypter | 前端加密Fuzz插件
优点:burp安装,速度快,准确率高,结果方便查看
缺点:需要下载加密js到本地,需要手动查找加密函数的调用方法
下载方式:https://github.com/c0ny1/jsEncrypter
3、BurpCrypto | burp插件
优点:无需下载js,在burp中可以进行加解密
缺点:需要手动查找加密参数,目前仅支持AES/DES加密、RSA公钥加密
下载方式:burp扩展商店搜索BurpCrypto安装
三、实战案例
1、通过BurpCrypto 进行爆破使用前缀+AES加密的参数
更多内容已被隐藏
主题内容你需要付费可见 (点击购买) 售价:1 金币
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| Track-魔方 | 100.00 | 0 | 2024-07-07 14:02:11 | 本月首次发表一篇有效文章奖励 100 |
| Track-魔方 | 900.00 | 0 | 2024-07-07 14:02:03 | 深度 300 普适 400 可读 200 |
打赏我,让我更有动力~
登录后才可发表内容
返回:技术文章投稿区
技术文章
小瑟斯
发表于 3个月前
666
评论列表
加载数据中...
wcy
发表于 3个月前
1
评论列表
加载数据中...
Tobisec
发表于 3个月前
1
评论列表
加载数据中...
学kali的小白
发表于 3个月前
1
评论列表
加载数据中...
中华龙龙
发表于 3个月前
1
评论列表
加载数据中...
小枭
发表于 3个月前
1
评论列表
加载数据中...
嘉名
发表于 3个月前
1
评论列表
加载数据中...
木马
发表于 3个月前
1
评论列表
加载数据中...
杜星翰
发表于 3个月前
123
评论列表
加载数据中...
章鱼海绵
发表于 3个月前
1
评论列表
加载数据中...
wuwen
发表于 3个月前
1
评论列表
加载数据中...
小菜猴子
发表于 3个月前
1
评论列表
加载数据中...
liuxinyu
发表于 3个月前
111
评论列表
加载数据中...
machccl
发表于 2个月前
1
评论列表
加载数据中...
极限
发表于 1个月前
涨知识了
评论列表
加载数据中...
羽义
发表于 24天前
6
评论列表
加载数据中...
羽义
发表于 24天前
图片挂了能补一下嘛
评论列表
加载数据中...