Web暴力破解--前端JS表单加密进行爆破

最新推荐文章于 2024-07-17 00:00:00 发布
最新推荐文章于 2024-07-17 00:00:00 发布
阅读量625 收藏
点赞数
文章标签: javascript 前端 html 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77300311/article/details/130011390
版权

  常见的js实现加密的方式有:md5、base64、shal,写了一个简单的demo作为测试。

0x02 代码

​
login.html



<!DOCTYPE HTML>  
<html>  
<head>  
<meta charset="utf-8">  
<title>用户登录</title>  
<script type="text/ecmascript" src="md5.js"></script>
<script>
function checkInput() {
    var password_input = document.getElementById('password');
    var password_md5 = document.getElementById('password_md5');
    // set password
    password_md5.value =hex_md5(password_input.value);
    return true;
}
</script>
</head> 
<body>  
<form action="login.php" method="post" onsubmit="return checkInput()">
    用户:<input type="text" id="username" name="username"> <br/>
    密码:<input type="password" id="pass
最低0.47元/天 解锁文章
编程阿涛
关注
利用 Burp Suite 进行密码爆破
大河之犬的博客
01-13 3898
使用 BP 工具的Intruder模块高度可配置,可以对目标网站进行密码爆破,一般被用于网站的安全渗透测试场景BP 工具的IntruderPositions:设置请求中的参数及攻击类型Payloads:为上面的参数设置数据集、参数编码、加密等功能:指定请求线程及延时时间Options:请求头、攻击结果、重定向等相关的配置。
安全测试--WEB,微信端渗透测试报告
Qton_CSDN的博客
02-27 4051
测试流程: 1.先用wvs扫 2.暴力破解 3.稍微看下请求包有什么不妥的地方没有,比如明文传输,cookie放太多个人信息,等等 4.一边看wvs结果可以一边找sql注入点,比如查询的地方 5.一边看wvs一边看xss的注入点,比如存储数据的地方 6.找文件上传的地方,尝试绕过,传马 7.有短信/邮箱服务的试一下炸弹 8.扫一下开启的端口,看看有没有开启不安全的服务等等 。。。差不多这样吧 都...
渗透测试-网页接口加密暴破
cdyunaq的博客
05-30 2453
前言 平时测试的时候,可能会遇到一些接口(如登陆接口)中的某些数据是加密的,如下图: 一般的思路:通过逆向分析前端加密算法,拿到密钥,再写脚本模拟加密过程构造想要的数据 [!note] 上面的思路是常规的思路,如果代码存在混淆,则比较费时费力,甚至分析不出来 因为加密都是在前端执行的,那么我们只需要模拟前端的操作即可 此处抛开burp插件不谈 解决办法 通过js模拟操作即可 1.定位输入框和按钮 2.设置数据 3.点击按钮 分析代码,找到我们要输入的框 然后定位到数据,
大力出奇迹之js文件爆破
MachineGunJoe666
04-28 770
当我们遇到一个登录框或者统一授权登陆(SSO)的时候,一顿瞎操作,sql注入不成功,账户密码爆破不出来,源代码找不到,端口扫描没有结果。此时总是苦于不知道该如何进一步做渗透测试和漏洞挖掘。笔者遇到一个有趣的现象,就是登陆后才可以看得见的js文件是可以未授权访问的。 0X02 初步探测 利用扫描工具探测存在的路径。 • 目录存在会返回403: • 目录不存在则返回404: 经过递归爆破以后发现了个有趣的路径: /routes/admin/ 0X03 js文件爆...
快速上手FFUF:一款高效的网络模糊测试js文件爆破工具
最新发布
2301_80064376的博客
07-17 1265
借助FFUF,你可以快速高效地进行网络模糊测试,发现潜在的安全漏洞。不仅是一款功能强大的工具,适用于目录发现、子域名发现、以及HTTP方法模糊测试,还是一款js爆破工具。本文将引导你快速掌握FFUF的使用方法,不需要复杂的背景知识,适合基础小白学习。它可以帮助你在短时间内发现网站的隐藏目录、文件和子域名,从而找到潜在的安全漏洞。:仅输出状态码为200和301的响应结果,有助于精确发现有效目录。:通过代理进行扫描,可以隐藏真实IP地址,提高安全性。:递归扫描可以深入每个目录层级,发现更多的隐藏目录。
js加密破解
weixin_45926804的博客
11-30 1045
某站的登入加密破解 目标网址:https://passport.bilibili.com/login?spm_id_from=333.851.b_696e7465726e6174696f6e616c486561646572.11 一、登入 F12打开调试 输入账号、密码、滑动滑块、点击登入 进入XHR开始寻找登入需要的字段,上图有 二、寻找加密位置 1、全局搜索加密字段password或者pas...
BurpSuite之表单爆破
内心不种满鲜花就会长满杂草
03-21 7576
目录 一. 表单暴力破解 1. 爆破双字段(用户名和密码) 2. 爆破单字段 二. 特殊密码爆破(认证信息) burp中的暴力破解模块intruder,支持多种模式的暴力破解,如下 一. 表单暴力破解 1. 爆破双字段(用户名和密码) 1. 如下,输入用户名和密码,截取数据包 2. 发送到intruder,点击Positions,点击clear,选择用户名和密码字段值,点击add,然后攻击类型(attack type)选择Cluster bomb。操作步骤如下 3. 再选择Pay
24游戏 js 暴力破解
u013276512的博客
04-25 590
最近地铁上没啥事,玩了玩 24 游戏。游戏定义很简单,四个100以内整数,通过三次四则运算,结果等于24。 忙中偷闲用 js 开发写了一个暴力破解的方法。代码贴一下。 <html> <body> <script> function calculation(a, b, c, d){ //符号整理 var charsAll = []; var ch...
【业务安全-03】业务逻辑漏洞之暴力破解(Burte Force)
cc
03-22 1484
暴力破解是一种针对于密码或身份认证的破译方法,即穷举尝试各种可能,找到突破身份认证的一种攻击方法。暴力破解是一把双刃剑,一方面能够被恶意者使用,另一方面在计算机安全性方面却非常重要,它用于检查系统、网络或应用程序中使用的弱密码。“暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。
Web安全攻防
S1942177831的博客
04-07 3383
分享一个破解js加密的方法
mxd01848的博客
10-08 5954
分享一个破解js加密的方法
7种JS加密解密方法
09-21
7种JS加密解密方法 7种JS加密解密方法 7种JS加密解密方法
怎么破解js加密
weixin_44532539的博客
07-09 590
破解JavaScript加密通常涉及逆向工程和安全研究,这可能会违反法律和道德规范,特别是如果你没有获得明确的授权或许可。破解加密技术不仅涉及技术挑战,还可能涉及法律风险,因此务必谨慎行事,并确保你在合法和合规的情况下进行操作。
记一次重大突破 - 破解js参数加密
老鹰的博客
09-15 475
前言 前几天应公司要求,需要爬取平安好医生APP,发现数据存在sign签名算法加密,如下图 本来想通过js逆向解析分析出 ‘_sig=’ 出来,通过 F12 开发者工具发现其生成方法如下 只知道用md5加密,但具体加密参数缺用 c、g、m这样的参数给掩盖掉了,通过关键词搜索等于大海捞针,js看着也头大,随即就放弃用seleium自动化抓取。 但后几...
web安全-使用burp suite进行表单暴力破解(含验证码)
Coisini的博客
05-30 5345
实训目标 1、了解验证码的工作原理; 2、掌握burp suite使用方法; 3、了解弱密码的攻击方式; 4、了解弱密码的危害。 一.题目提示: 后台管理员用户密码为弱密码(3位数字) 管理员账号为:admin 登录界面为: 拿到这道题首先要了解验证码的工作原理 二.打开burp suite进行抓包 至于还不会使用burp suite的同学亲自行百度(http...
js一招破解所有网页的加密源代码的方法
热门推荐
饭特稀 的专栏
05-03 1万+
 现在很流行源代码加密,无论出于作者想保护自己的资源,还是放马者为了不让别人发现网页有马等等,都对源代码加密。 想破解它很简单,一招就搞定了,是不是用点心动了呢?是的就快跟我来吧!comeon gogogo! 1/首先我们来看看一个网页的源代码,为了不浪费大家的时间,我在免费空间随便上传个网页(已经加密的)大家来看看,为了便以大家看到结果,我做很简单(真的很简单咯)我门来看看他的源代码,方法有很多
Python+selenium绕过前端js加密暴破登录
weixin_45605352的博客
08-02 1721
0x00 前言 有时在暴破登录框时,密码字段被加密了,不知道加密算法的话对暴破的进行会产生障碍,下面有几种解决方法. 分析前端 js 加密脚本,了解加密过程后用编程,\语言重写,将密码加密后暴破. ...
1.1 暴力破解——基于表单暴力破解
weixin_41826065的博客
12-07 1225
暴力破解——基于表单暴力破解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值