用bpfuzz来检测黑名单

于 2024-03-19 15:00:37 发布
阅读量239 收藏 1
点赞数 1
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mssqj/article/details/136842817
版权
作者分享了在IT项目中如何通过BP工具进行黑名单内容检测的过程,使用Intruder模块进行字典攻击,通过观察不同响应状态码和内容长度来判断哪些内容未被过滤。文章重点在于学习和实践Fuzz测试的基本技巧。
摘要由CSDN通过智能技术生成

 对上传内容进行黑名单检测,,

我本人比较菜,之前做题,题目把过滤内容都甩我脸上了,就是平常都见的是正则过滤。

但是现在,他不告诉我们什么被过滤,我们就要自己去试一试了。

我用的是bp

把包发送到intruder模块

选定内容

再选择字典

还可以给payload添加一个前缀,有时候还可以根据实际情况添加后缀,或者一些加密

这是跑出来的结果

不难发现,所有响应状态码都是200

但是仔细观察,我们会发现他们长度不一样,

有几个706的,这些就是没被过滤的

先简单学习怎末使用bp来fuzz,测试过滤内容

陌上笙清净
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SQL注入漏洞测试
09-12
SQL注入漏洞测试入门篇
FUZZ入门1
weixin_61283545的博客
05-27 2620
AFL-Fuzz介绍 Fuzzing是指通过构造测试输入,对软件进行大量测试来发现软件中的漏洞的一种模糊测试方法。在CTF中,fuzzing可能不常用,但在现实的漏洞挖掘中,fuzzing因其简单高效的优势,成为非常主流的漏洞挖掘方法。 AFL则是fuzzing的一个很好用的工具,全称是American Fuzzy Lop,由Google安全工程师Michał Zalewski开发的一款开源fuzzing测试工具,可以高效地对二进制程序进行fuzzing,挖掘可能存在的内存安全漏洞,如栈溢出、堆溢出、U
渗透测试中常见的FUZZ测试
LCW991207的博客
08-19 654
渗透测试本就是要多多测试,不要怕事多,要有耐心。
模糊测试
steven_chr的专栏
11-10 1234
模糊测试(Fuzz testing )是一项对代码质量有着深远影响的简单技术。在本文中,Elliotte Rusty Harold 故意将随机的坏数据插入应用程序,以观察发生的结果。他也解释了如何使用如校验和、XML 数据存储及代码验证等防护性编码技术,来加固您的程序以抵制随机数据。他以一个练习进行总结,在练习中他以一个代码破坏者的角度进行思考 —— 这是一种用于防护代码的至关重要的技术。多年
FUZZ题目讲解
qq_46540840的博客
04-28 2943
FUZZ讲解 文章目录FUZZ讲解前言使用方法补充知识点构造的代码 前言 何为Fuzz简单来说就是模糊测试 模糊测试(fuzz testing)是一种介于完全的手工渗透测试与完全的自动化测试之间的安全性测试类型 就是一遍一遍的去尝试 使用方法 拿buuctf 一道注入题来说 [CISCN2019 华北赛区 Day2 Web1]Hack World 输入1,2,3 分别有不同显示内容分别是 Hello, glzjin wants a girlfriend Do you want to be my gi
ctfshow萌新赛经验总结
m0_62422842的博客
06-05 1715
涉及到的相关知识: sql注入中的sprintf格式化字符串漏洞。 基于约束的sql注入攻击。 利用Burpsuite Fuzz实现sql注入
burpsuite 文件包含 文件读取FUZZ技巧
weixin_33836223的博客
03-30 1123
转载于:https://blog.51cto.com/0x007/1626518
[极客大挑战 2019]HardSQL
xj28555的博客
09-02 194
进入题目,一个登录框。 测试了下万能密码登录,无果,有WAF拦截,那接下来就是绕过WAF。 先抓包用bp进行FUZZ,看看有那些没有被拦截的函数。通过手工FUZZbpFUZZ结合,发现过滤了and、= 空格 union等多个sql关键字。 发现有一些,报错注入的函数是没有被过滤的,那我们这题就可以通过报错注入来进行注入。 这里我们利用updatexml函数进行报错注入。 payload #查看数据库信息 http://2d43986a-ef4e
从SQL注入绕过最新安全狗WAF中学习fuzz
quan9i的博客
06-11 994
声明:文章首发于先知社区
android上的漏洞挖掘方式和Fuzz
inquisiter
03-12 2404
https://www.blackhat.com/docs/asia-16/materials/asia-16-He-Hey-Your-Parcel-Looks-Bad-Fuzzing-And-Exploiting-Parcelization-Vulnerabilities-In-Android-wp.pdf 感觉翻译的有点怪异,凑乎的看哇。 Binder简介 Binder是andori...
fuzz系列之libfuzzer
weixin_30567225的博客
08-03 3156
前言 本文以 libfuzzer-workshop 为基础 介绍 libFuzzer 的使用。 libFuzzer简介 libFuzzer 是一个in-process,coverage-guided,evolutionary 的 fuzz 引擎,是 LLVM 项目的一部分。 libFuzzer 和 要被测试的库 链接在一起,通过一个模糊测试入口点(目标函数),把测试用例喂给要被测试的库。 fuzz...
Wfuzz:一款强大的Web Fuzz测试工具 | 安装报错解决
Sp4rkW的博客
08-15 4261
Wfuzz是一个基于Python的Web爆破程序,它支持多种方法来测试WEB应用的漏洞。你可以审计参数、登录认证、GET/POST方式爆破的表单,并且可以发掘未公开的资源,比如目录、文件和头部之类的。 Wfuzz是一款为了评估WEB应用而生的FuzzFuzz是爆破的一种手段)工具,它基于一个简单的理念,即用给定的Payload去fuzz。它允许在HTTP请求里注入任何输入的值,针对不同的WEB...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8343
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Flash-制作旋转动画教程.doc
07-23
flash
小波去噪的Matlab仿真程序,对一维序列进行去噪
最新发布
07-23
本程序包含一个简单示例,利用Matlab代码对一维时间序列进行噪声去除,主要过程调用了Matlab自带的函数。小波分析的有关知识:Donoho提出的小波阀值去噪的基本思想是将信号通过小波变换(采用Mallat算法)后,信号产生的小波系数含有信号的重要信息,将信号经小波分解后小波系数较大,噪声的小波系数较小,并且噪声的小波系数要小于信号的小波系数,通过选取一个合适的阀值,大于阀值的小波系数被认为是有信号产生的,应予以保留,小于阀值的则认为是噪声产生的,置为零从而达到去噪的目的。
ThinkPHP短视频系统关注点赞任务平台系统源码美化整修最终版[可封装双端APP]
07-23
拇指赚ThinkPHP短视频系统关注点赞任务平台系统源码[可封装双端APP] 易支付 微信支付宝官方支付 提现秒到账微信零钱 Thinkphp框架 对接第三方支付paysapi易支付微信支付宝官方支付提现秒到账微信零钱 源码内附详细安装说明
GooFlow工作流引擎压缩包
07-23
《GooFlow——Web流程设计实现详解》 在数字化时代,高效的工作流程设计与管理是提升企业运营效率的关键。GooFlow作为一个强大的在线流程设计工具,以其简洁的界面和丰富的功能,深受用户喜爱。本文将深入探讨GooFlow在Web流程设计中的实现,以及其与jQuery库的结合应用。 我们来看GooFlow的核心特性。GooFlow提供了一个直观的拖放界面,允许用户轻松创建和编辑流程图。文件"Gooflow.js"是这一核心功能的实现载体,它包含了一系列用于绘制和操作流程图的函数。通过这些函数,开发者可以定制化地构建出各种复杂的业务流程,满足不同行业的定制需求。 在Web开发中,jQuery库扮演了重要角色。"jquery.min.js"是轻量级的JavaScript库,简化了DOM操作、事件处理和Ajax交互。在GooFlow中,jQuery被用来优化用户交互体验,例如,通过jQuery选择器快速定位页面元素,动态响应用户的点击、拖动等操作,使得流程设计过程更加流畅。 "defaul.css"是GooFlow的样式文件,它定义了流程图的显示样式,包括节点形状、线条样式、背景
西门子-Opc协议AE 源 码.rar
07-23
OPC(OLE for Process Control)协议是一种在工业自动化领域广泛使用的通信标准,它允许不同的设备和软件应用程序之间进行数据交换。OPC AE(Automation Events)是OPC规范的一部分,主要用于实时事件和报警管理。本资源包含的是使用C#语言编写的OPC AE客户端和服务器的源代码。
b064疫情居家办公系统-springboot+vue.zip(可运行源码+sql文件+文档)
07-23
疫情居家办公系统管理系统按照操作主体分为管理员和用户。管理员的功能包括办公设备管理、部门信息管理、字典管理、公告信息管理、请假信息管理、签到信息管理、留言管理、外出报备管理、薪资管理、用户管理、公司资料管理、管理员管理。用户的功能等。该系统采用了MySQL数据库,Java语言,Spring Boot框架等技术进行编程实现。 疫情居家办公系统管理系统可以提高疫情居家办公系统信息管理问题的解决效率,优化疫情居家办公系统信息处理流程,保证疫情居家办公系统信息数据的安全,它是一个非常可靠,非常安全的应用程序。 管理员权限操作的功能包括管理公告,管理疫情居家办公系统信息,包括外出报备管理,培训管理,签到管理,薪资管理等,可以管理公告。 外出报备管理界面,管理员在外出报备管理界面中可以对界面中显示,可以对外出报备信息的外出报备状态进行查看,可以添加新的外出报备信息等。签到管理界面,管理员在签到管理界面中查看签到种类信息,签到描述信息,新增签到信息等。公告管理界面,管理员在公告管理界面中新增公告,可以删除公告。公告类型管理界面,管理员在公告类型管理界面查看公告的工作状态,可以对公告的数据进行导出,可以添加新公告的信息,可以编辑公告信息,删除公告信息
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值