• 2024-11-02渗透测试--Fuzzing Web应用
    总体思路        当我们发现一个Web应用的时候,我们可以从Web的各个层面发起信息搜集。比如Web目录,了解Web页面的后端语言,揭露后端文件的参数,揭露后端文件参数的可选值,爆破子域名、获取私有域名等。这些信息将帮助我们进一步渗透,有时候会起到关键作用。其实其核心点就
  • 2024-02-12Burp Suite和Fuzzing技术
    目录burpsuite是什么?Burp英文单词fuzzing英文单词fuzzing技术是什么?这里介绍一下如何自己设计图片上传程序,这里使用到burpsuite抓包工具,burpsuite抓包教程百度一大把,还请小伙伴们自行探索。我们需要在网页上传图片时抓取整个的http请求,之后用python代码模拟发包就可以了,如
  • 2024-01-18智能合约安全保障checklist
    一、设计阶段 要根据业务,区分出角色、活动阶段。 明确各种角色在各种活动阶段,有什么样的执行权限 活动的特点,容易在什么阶段、受到什么样的攻击兜底策略应该有哪些二、开发阶段注重实施访问权限控制,按照最小特权原则尽量使用现有、社区审核的库多使用modifier修饰符
  • 2023-08-22带你读论文丨Fuzzing漏洞挖掘详细总结 GreyOne
    本文分享自华为云社区《[论文阅读](03) 清华张超老师 -Fuzzing漏洞挖掘详细总结 GreyOne》,作者: eastmount。一.传统的漏洞挖掘方法演讲题目: 数据流敏感的漏洞挖掘方法内容摘要: 模糊测试近年来成为安全研究人员的必备的漏洞挖掘工具,是近年来漏洞披露数量爆发的重要推手
  • 2023-07-29浅谈AFL++ fuzzing(上):如何用进行有效且规整的fuzzing
    适用于白盒fuzzinginputcorpus收集语料库对于模糊测试工具而言,我们需要为其准备一个或多个起始的输入案例,这些案例通常能够很好的测试目标程序的预期功能,这样我们就可以尽可能多的覆盖目标程序。收集语料的来源多种多样。通常目标程序会包含一些测试用例,我们可以将其做位我
  • 2023-06-29利用符号执行增强的Fuzzer:Driller
    0x00引言软件与信息系统的漏洞长久以来一直是网络空间安全威胁的重要源头,特别是0dayattack往往导致严重的破坏,因此针对软件与信息系统的漏洞挖掘技术在长时间的发展中提出了以两大特性为基础的技术。第一是基于静态分析。静态分析是没有实质执行程序的情况下进行的程序分析技
  • 2023-06-27基于覆盖率的Fuzzer:AFL
    0x01Fuzzer的类型模糊测试器的分类方法方式有好几种,本文将着重介绍基于覆盖率的模糊测试器,因此只详细介绍根据fuzzing策略的分类。基于fuzzing的策略,可将fuzzer分为基于定向的fuzzing和基于覆盖率的fuzzing。对于基于覆盖率的模糊测试工具来说,往往需要使用恰当的种子测试目标程
  • 2023-04-28Fuzzing101-Exercise1 fuzz xpdf CVE-2019-13288
    author:cxingdate:2023年4月28日0x00前期准备第一个exercise是复现xpdf的CVE-2019-13288,在正式进入fuzz之前我们需要了解xpdf和CVE-2019-13288。找到xpdf的官网,上面有一句简短的介绍。XpdfisafreePDFviewerandtoolkit,includingatextextractor,imagecon