信安之路培训课程

信安之路培训课程

  • 简介
  • 目录大纲
  • 最新文档

    第十步:针对所有网站进行目录扫描

    一个好的目录扫描工具,应该具备准确、自动扩展等能力。基于以下思考,设计开发一款目录枚举工具,字典使用配置文件的方式,请不要修改现有文件,新创建一个文件进行开发。 前后端分离 1、提取 js 的路径中包含 app、chunk 等关键词,探测 js 是否存在 map 文件泄露 常规系统 1、访问首页,提取网站目录列表,作为备份的文件名 2、域名网站,提取域名关键词组合作为备份文件名 3、IP网站,只关……

    myh0st - 2026年4月27日 17:42

    0x04 无限 debugger 绕过

    在打开 F12 进行动态调试 js 时,无限弹 debugger,比如: 如何绕过呢? 1、停用断点,但是无法动态调试 2、在 debuger 处设置永不暂停,右键第四个功能: 实测效果,发现卡死了,一直在回调!目标可能无法直接用这种简单粗暴的方式。 3、js 替换法,覆盖远程 JS 查看堆栈调用,找到 js 来源 点击箭头处,就是调用的上一个函数 这里就知道时哪个 js 中的代码导致的……

    myh0st - 2026年4月22日 14:29

    0x01 小程序自动化

    自动化分析小程序源码,提取关键信息 关键信息 1、各种 key、token 等密钥 2、服务端地址 3、API 接口路径列表 主要测试漏洞 1、接口未授权访问 2、密钥等敏感信息泄露 3、认证授权 HMAC 认证授权,通过反编译源码,找到计算方式,从而绕过认证 多种加密方式漏洞案例: https://mp.weixin.qq.com/s/6wPdDYVeQ2X9akmIFuNFrw 一键微信、手机……

    myh0st - 2026年4月21日 17:40

    0x05 哈希破解

    测试中由于加密 key、salt 等存在弱口令时,可以利用 hashcat 来完成哈希破解 JWT 密钥破解 https://github.com/z-bool/Venom-JWT hashcat hashcat -a 0 -m 16500

    myh0st - 2026年4月21日 15:29

    0x04 AI 应用

    利用 AI 提高测试成功率,扩展测试范围 API 预测 在已经收集到一些真实 API 接口时,将其交给 AI 分析后,让其基于此规律进行 API 的预测。 这也算是利用大数据来获取 API 接口的方式

    myh0st - 2026年4月21日 15:26

    0x03 爆破技巧

    针对 401 认证的爆破 第一步:指定要破解的字符串 第二步:增加密码字典 payload 第三步:修改 payload 变换方式 401 认证的变换方式是将账号与密码通过冒号拼接后进行 base64 编码,比如 admin:123456,所以需要变换两次: 1、在 payload 签名增加前缀 admin: 2、针对组合 payload 进行 base64 编码 顺序要对

    myh0st - 2026年4月20日 09:23

    0x03 寻找加解密 key 的技巧

    案例一:某 h5 网站,大量 JS 中寻找 AES key 先找配置特征,比如发现一个 setting 的 js: api 基地址的配置前缀是 VITE_APP,那么基于这个关键词去查找: 找到一堆配置,其中就有加解密用的 key 和计算签名的 key,这个时候就能将数据包中的加密字符串进行解密构造参数测试了。

    myh0st - 2026年4月16日 18:05

    0x02 API 测试

    soap 测试 使用工具(soapui):https://dl.eviware.com/soapuios/5.9.1/SoapUI-x64-5.9.1.exe 针对路径: 1、/HelloServices.asmx?wsdl 2、/ErpBackupFileService.svc?wsdl 主要这两种后缀,然后使用工具,导入链接即可测试

    myh0st - 2026年4月16日 14:40

    0x04 数据库管理

    清理 API 接口 delete from api_info where website_id in (select website_id from fingerprint_result where fingerprint_id in (select id from fingerprint where type_flag in (2,5))); 更新通用 update website set is……

    myh0st - 2026年3月27日 10:29

    0x02 云安全

    存储桶 桶劫持 文件上传 配置错误,文件浏览 AK、SK泄露 同一个key不同的权限,比如云数据库、云存储桶、云数据库、云服务器等 阿里云:Access key , Access Id LTAI 开头 腾讯云:SecureID 场景 Js 泄露、github 源码泄露、Springboot 未授权、上传接口响应包泄露、APK小程序反编译

    myh0st - 2026年3月24日 16:18

    myh0st