fiddler的安装、配置、使用、联动 免费下载 Telerik 提供的 Fiddler Web 调试工具。如果需要联动burp,这里就写上burp 监听的地址和端口。actions里面选择第一个,直接安装证书。选择好过滤的条件,直接执行,选择第一个就行。正常安装,没什么需要注意的。
前端js.map文件泄露 转换后的代码的每一个位置,所对应的转换前的位置。有了它,出错的时候,除错工具将直接显示原始代码,而不是转换后的代码,这无疑给开发者带来了很大方便。在日常测试时,经常会遇到以js.map为后缀的文件,非常多Webpack打包的站点都会存在js.map文件.,通过sourcemap可还原前端代码找到API,间接性获取未授权访问漏洞,什么是Source map。下载好js.map文件后就是逆向还原操作,我们用到的工具reverse-sourcemap。-o:还原后的目录,-v:需要还原的文件。
xray的安装和使用 2.进入安装目录下,用win键加R打开cmd后,输入powershell即可3.生成证书4.直接安装证书到浏览器5.使用单个url扫描命令:./xray_darwin_arm64 webscan--url说明:扫描指定的单个URL,扫描结果以html格式输出对文件内容的地址进行扫描:先爬虫再扫描命令:./xray_darwin_arm64 webscan说明:使用爬虫模式,先对指定的url进行爬虫,然后再进行扫描,结果以json格式的文件输出监听模式。
burp+模拟器抓包 cer证书直接拖进模拟器桌面,会直接弹出手机的文件夹,里面就会有,点击前面的框框。代理设置手动,代理服务器和端口号要写burp的代理地址和端口,这样手机流量会发送到代理地址和端口,burp就能抓住。不导入证书的话,只能抓取http的流量,https需要安装证书才能抓取。手机上安装证书需要安装cer后缀的证书,要在把证书导出cer后缀的证书。会弹出设置密码的界面,安装证书要设置模拟器的锁屏密码,设置一个就行。burp 对无线网卡进行抓包,端口设置个不常用的端口。打开模拟器的设置---安全--从SD卡安装。
手机模拟器密码锁屏密码重置(夜神、雷电通用) 3、adb root 获取这个模拟器的root权限(或者先提前链接:adb connect *******(设备名及ip) 记不住ip的话,就重启模拟器 ,然后直接adb root 获取权限)6、然后进入到shell端中的 /data/system目录下 cd /data/system。5、登录成功后,adb shell 进到shell端。4、adb remount 使用remount名来登录。2、adb devices 来查看一下这个设备。8、重启雷电后直接进去了,不需要输入密码。
关注
