burp禁用指定js文件绕过前端检测

最新推荐文章于 2024-04-23 10:12:18 发布
最新推荐文章于 2024-04-23 10:12:18 发布
阅读量3.2k 收藏 2
点赞数
分类专栏: 渗透 文章标签: html javascript html5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41607190/article/details/120001816
版权

访问页面时,假如有弹窗提示不能超过多少位数之类的限制,一般是前端做的限制,只要是前端的代码就有基会绕过
在这里插入图片描述
可以根据弹窗的内容在f12里面找到对应的js文件,火狐ctrl+shift+f搜索即可,chrome f12右键就有文件内搜索。
找到在这个文件中
在这里插入图片描述
来到burp,选择response body,match就填文件的路径就可以了
在这里插入图片描述
然后勾选上启用,回到网页刷新,重新抓包,提交表单
可以看到已经绕过了之前的限制,提交了长度超过15的任务名
在这里插入图片描述

InventorMAO
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
burpsuite 修改HTML,BurpSuite调用JavaScript处理Payload,通过JS完全自定义处理逻辑
weixin_34137975的博客
06-04 980
0×01 引言大家在使用burp的intruder模块时,一定遇到过已有payload processing不能满足需求的情况。例如某些系统使用了复杂的加密算法对参数加密之后传给服务器,当我们要对payload做复杂处理时,burp自带功能不能满足要求,只能自己写脚本翻译算法,这样一来,一定程度上进行了很多重复性工作,比如:从上图可以看出,password与nonce两个参数是js加密后传输的,如...
Burpsuite搜集js信息(BurpJSLinkFinder )
malathonsec
03-23 4549
插件地址: GitHub - InitRoot/BurpJSLinkFinder: Burp Extension for a passive scanning JS files for endpoint links. jython下载地址: Downloads | Jython 我的使用版本: https://repo1.maven.org/maven2/org/python/jython-standalone/2.7.2/jython-standalone-2.7.2.jar 开始安装
1-4 Burpsuite 剔除JS脚本(绕过JS文件上传验证)
山兔的博客
11-19 2963
Javascript脚本介绍 JavaScript一种直译式脚本语言,是一种动态类型、弱类型、基于原型的语言,内置支持类型。它的解释器被称为JavaScript引擎,为浏览器的一部分,广泛用于客户端的脚本语言,最早是在HTML(标准通用标记语言下的一个应用)网页上使用,用来给HTML网页增加动态功能。 现在更多的是用在游戏开发方面 例如:对于上传文件进行JS验证。 首先这是一个函数,用来验证对应的文件上传类型,允许上传我允许的,不允许的返回文件上传错误,这是白名单验证上传 如果上传的文件类型为空或者是错误
burpsuite 可以移除 form 和页面的javascript
weixin_34303897的博客
09-05 356
2019独角兽企业重金招聘Python工程师标准>>> ...
探秘BurpJsEncrypter:一款强大的JavaScript加密工具
最新发布
gitblog_00068的博客
04-23 249
探秘BurpJsEncrypter:一款强大的JavaScript加密工具 项目地址:https://gitcode.com/TheKingOfDuck/burpJsEncrypter BurpJsEncrypter 是一个专为安全研究人员和Web开发者设计的开源项目,它提供了一种便捷的方式对JavaScript代码进行加密和解密,以增强代码的安全性和隐私保护。 技术分析 该项目基于Node.js...
结合Burp Suite绕过前端验证机制原理总结
12november的博客
07-03 1365
该实验在Burp Suite配置完成的前提下进行
【渗透测试】burp抓包修改js
weixin_30399797的博客
08-03 3140
某天,某智障程序员写了几行错误的代码,导致了火狐和谷歌浏览器无法正常登陆,经过分析发现控制登陆的是一个js文件,其判断浏览器版本是否在IE8以上的语句如下图所示: 而最新的Chrome的UA如图所示: 所以,用新版的浏览器不可能登陆成功的,会弹出以下警告信息: 众所周知,由于IE浏览器对开发者不太友好,即使新版有了许多改进也不如火狐或者谷歌来的方便,所以我们通过burp抓...
burpsuite前端JS加密的爆破
黑面狐
03-23 2523
使用工具: jsEncrypter burpsuite phantomjs 再测试SRC时,弱口令总是比别人搞得慢,特别是遇到前端加密的情况,所以抽时间来完善一下我的武器库。 一、jsEncrypter安装 今天用到的工具 jsEncrypter官方地址https://github.com/c0ny1/jsEncrypter 没安装mvn的直接下载 release版本就行了,不用再去编译他。 release版本https://github.com/...
BurpJS API接口过滤插件
qq_50854662的博客
07-11 358
BurpJS API接口过滤插件
burpsuite登录_利用BurpSuite突破JS限制登陆后台
weixin_42101056的博客
02-06 1075
最近测试一个网站,发现同服有一个网站的后台登陆在输入用户名和密码错误以后使用的JS跳转,页面会自动跳转到登陆页面,后台又未验证session之类的,也就是说如果我们突破了JS也就可以直接管理后台了。当然突破JS的方法比较多,比如以前使用firefox浏览器本身的功能就有禁用JS的功能,但是禁用JS以后,后台的很多功能是无法使用的,这就需要我们找一个工具来实现禁用一小部分js代码的功能,比如去掉跳转...
浏览器禁止JavaScript,以谷歌浏览器为例
m0_37866091的博客
11-28 5148
有时候我们在上网的时候,不希望打开的网页运行javascript,今天就和大家分享一下在谷歌浏览器下如何关闭js; 方法/步骤 首先打开chrome浏览器,我们点击右边红框里的图标,如图所示; 或者 谷歌浏览器如何禁用JavaScript 然后我们点击设置按钮,点击后找到"显示高级设置",如图所示; 如图所示; 拉到最下面找到JavaScript,点击然后选择不允许网站使用JavaScript的就可以了 不同版本的浏览器可能修改方式不一样但是大概的逻辑都是相通的,就是找到设置然后在设置里禁掉Ja
Web安全——Burp Suite基础上
钟言的博客
08-08 1万+
本篇为Burp Suite安全工具的使用讲解上篇,详细内容包含了:Burp Suite安装和环境配置 如何命令行启动Burp SuiteBurp Suite代理和浏览器设置FireFox设置 如何使用Burp Suite代理 1、Burp Proxy基本使用 2、数据拦截与控制 3、可选项配置Options 客户端请求消息拦截 服务器端返回消息拦截 服务器返回消息修改 正则表达式配置 其他配置项 4、历史记录History四、SSL和Proxy高级选项 1、CA证书安装 2、Proxy监听设置五、如何使等等
谷歌浏览器chrome如何允许或禁止JavaScript运行?添加黑白名单?
boke112的博客
12-29 8893
默认情况下大多数浏览器都是允许 JavaScript 运行的,毕竟很多博客网站的某些功能是需要 JavaScript 支持的。那么我们应该如何设置浏览器允许或禁止 JavaScript 运行呢?又如何将某个网站添加到允许 JavaScript 运行的白名单中或禁止 JavaScript 运行的黑名单中呢?这就是本文今天的重点内容,下面老古以谷歌浏览器 Chrome 为例跟大家介绍一下具体的操作。 如何设置浏览器允许或禁止 JavaScript 运行? 1、打开谷歌浏览器 Chrome >>
新版Burp Suit抓包拦截请求并修改响应
热门推荐
西凉的悲伤博客
05-27 1万+
1.安装Burp Suite 如果你没安装Burp Suite,可以参考 新版Burp Suite安装 进行安装 2.打开Burp Suit 点击next 点击Start Burp 3.点击Proxy (代理),选择 Intercept(拦截器) 2.1 点击Open Browser 会打开一个自带的浏览器,输入一个 url 网址回车。(我这里输入了 https://www.csdn.net/ 进行测试) 2.2 如果这个时候你想进行抓包可以点击 Intercept is off 开启开关进行抓包,然后
禁止某些网页重定向(burpsuite小技巧)
夜班机器人的博客
08-02 1万+
有时候在渗透测试中,打开某个页面,显示了管理界面,却很快就重定向到了登录页面.令你来不及仔细查看内部的选项. 这时候BurpSuite就可以排上用场了. Porxy ->Option->Match and Replace->add 直接点OK. 然后所有的网页都无法再次将你重定向至某个网页地址了. 当然你可以自己写出更精细的正则表达式来匹配你指定的网页....
python禁用js_摆脱Burpsuite的局限性——python调用jsDES加密
weixin_39561168的博客
12-10 165
原标题:摆脱Burpsuite的局限性——python调用jsDES加密目录0x00 burpsuite的局限性 20x02 理解js中的“DES加密” 40x03 python DES加密模块——pydes 50x04 设计DES加密api 50x05 python 调用js——exeacjs 90x06 后话 90x00burpsuite的局限性今天的渗透工作中黑盒测试遇到一个DES加密的登陆...
如何实现c0ny1师傅的burp/jsEncrypter插件的自定义加密算法模块
qq_43592994的博客
03-27 2748
前言 书接上回,既然弄出了js前端加密那么后面如果要爆破的话如何做到呢,花了一些时间研究了c0ny1/jsEncrypter的burp插件拓展发现很好用,但是如果我们要自定义加密算法的话需要自己修改代码,但是网上又没有比较详细的自定义算法的文章,所以便打算记录一下爬坑日记 Js编辑 c0yn1师傅的github项目地址为: https://github.com/c0ny1/jsEncrypter ...
[基本实验] 利用Burp和FireBug绕过上传漏洞的前端防护
07-23 5196
前端代码一共分为两部分,upload.html负责表单,upload.php负责上传处理 upload.html 图片上传 function checkFile(){ var flag = false;//是否可以上传的标志位 var str = document.getElementById("file").value;//获取文件名 str = str.substring(st
burp绕过token
07-27
Burp Suite可以通过不同的方式绕过token验证。其中,一种方式是当csrf_token存在于当前页面时,可以使用第一种绕过姿势。另一种方式是当csrf_token不存在于当前页面时,可以使用第二种绕过姿势。\[1\] 现在的网站...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值