Fuzzing

每日安全资讯(2018.12.12)

研究人员发明智能灰盒模糊测试工具,有可能开源来自3所高校的5名研究人员致力于改进灰盒模糊(Fuzzing)测试方法,并于近期宣称取得了惊人的成果。
溪边的墓志铭·2018-12-13 15:16

python动态代码审计

常见漏洞分类数据库操作敏感函数的调用和传参文件读写操作网络访问操作正文目录数据库generallog日志hook关键函数结合auditdhttp盲攻击fuzzing数据库日志general-log是记录所有的操作日志
niexinming·2018-08-30 11:46

Xss

Fuzztesting模糊测试point:“xss盲打”,“xss编码绕过”,“fuzzingxss”参考https://blog.csdn.net/u011781521/article/d
ivalue2333·2018-07-26 20:30

T-fuzz--fuzzing by program transformation论文概要

摘要fuzz的问题,有限覆盖率和深度bug挖掘。为了提高覆盖率,常用的方法是依靠不精确的启发式算法或者复杂的输入变异等技术。T-fuzz通过去掉santiycheck来提高覆盖率。T-fuzz利用覆盖率来引导产生输入。当不能访问到新的路径时,T-fuzz会去掉check,以保证fuzz能继续进行,发现新的路径和bug。这个方法有2个问题:1.去除check,导致结果不准确并会产生误报;2.即使是真
Chen_zju·2018-07-05 23:40

20179214 2017-2018-2 《密码与安全新技术》第五次作业

基于fuzzing技术的漏洞挖掘与攻防技术基于模糊测试的漏洞挖掘与攻防技术引言安全事件层出不穷滴滴8天3城连发暴力事件媒体:被资本绑架轻视安全史上最大云安全事件Cloudflare流量泄露洲际酒店(IHG
zero_to_one·2018-05-12 20:00

ngx_lua_waf nginx防火墙安装操作手册

ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙,主要用途是:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击防止
zhong·2018-03-28 12:46

nginx+ngx_lua支持WAF防护功能

第三方模块,它能将lua语言嵌入到nginx配置中,从而使用lua就极大增强了nginx的能力.nginx以高并发而知名,lua脚本轻便,两者的搭配堪称完美.用途:防止sql注入,本地包含,部分溢出,fuzzing
我不是九爷·2018-02-28 16:09

web安全CTF比赛习题(高级)

一、fuzzing访问目标网址,“thereisnothing”,小编心想,没东西是不是可以不做了?
Qu_iet·2018-01-18 18:41

高级CTF:fuzzing writeup

CTF一:http://106.75.108.111:2222题目提示信息:fuzzing1.访问页面显示thereisnothing2.利用burpsuite进行抓包,并且发送到Repeater进行发送
张德亮·2018-01-17 20:54

Burp Suite渗透操作指南 【暴力破解】

1.1Intruder高效暴力破解其实更喜欢称Intruder爆破为Fuzzing。Intruder支持多种爆破模式。分别是:单一字典爆破、多字段相同字典爆破、多字典意义对应爆破、聚合式爆破。
py7hon·2017-12-04 23:00

任务12:Linux缓冲区溢出-Fuzzing思路

注:学习笔记来自安全牛课堂。感谢倪群主,感谢苑老师!前面一节中,最大的问题就是如何找到能写入shellcode的内存地址?由于ESP只能存入7个字符,所以无法写入shellcode,因此只能在其他几个寄存器中逐个寻找。但是,这里做实验的机器找到了能存入shellcode的内存地址,如果换个环境,地址就又会发生变化。所以,得想方法每次都能跳转到EAX寄存器中。并且还要偏移12个字节。一旦没有偏移,覆
FKTX·2017-10-13 17:51

任务11:Linux缓冲区溢出-Fuzzing调试

注:学习笔记来自安全牛课堂。感谢倪群主,感谢苑老师!上面测试有溢出漏洞,下面就是精确到哪里有溢出了。下面的脚本得多留意一下。运行上面的脚本之后,看下面的图:另外,这里有点奇怪的是,只有发送4379个字符才会溢出,而不是说超过4379就能溢出。和之前的windows差距比较大。windows是只要超过一定的数值,就能溢出了。所以,这里要注意。还有,如何知道是4379个字符是溢出的???(crossf
FKTX·2017-10-13 11:36

【安全牛学习笔记】FUZZING

FUZZING╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋┃FUZZING┃┃思路:┃┃将EIP修改为shellcode代码的内存地址,将Shellcode写入到地址空间
安全牛课堂·2017-09-15 11:08

安装nginx+ngx_lua支持WAF防护功能

第三方模块,它能将lua语言嵌入到nginx配置中,从而使用lua就极大增强了nginx的能力.nginx以高并发而知名,lua脚本轻便,两者的搭配堪称完美.用途:防止sql注入,本地包含,部分溢出,fuzzing
BoXull·2017-09-04 12:00

凭借Scapy, radamsa工具和少量明文数据包对专有协议进行Fuzzing测试

简介作为安全顾问,我们以客户所雇佣的枪手身份来代为执行针对应用程序的黑匣子安全测试。通常,我们必须对那些使用自己专有方案而非常规协议(如HTTP)进行通信的应用程序的安全性进行评估。最近,我们接到了一个时间比较紧急的任务,涉及到对一个具有私有通信协议(包裹在SSL/TLS隧道内)的定制型应用程序的安全性进行测试。本文旨在描述我们解决任务中所发生的有关技术限制及时间限制问题的过程,并通过基于基于缺陷
看雪学院·2017-08-09 18:10

【Openresty】Openresty增加waf配置

1.Ngxluawaf说明防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击防止svn/备份之类文件泄漏防止ApacheBench之类压力测试工具的攻击屏蔽常见的扫描黑客工具
Carson·2017-08-08 00:00

fuzzing-03-Easy File Sharing Web Server7.2分析和利用

0x00前言首先,为什么没有fuzzing-02。。。
大人的涂鸦丶·2017-07-11 10:24

提高AFL的fuzz速度

2.使用简单的目标进行测试考虑在fuzzing过程中使用一个简单的目标二进制程序。3.使用LLVM插桩当目标fuzzi
前方gail·2017-04-17 11:32

AFL介绍(README.txt)

AFL介绍参考:/docs/readme.txt参考博客:http://blog.csdn.net/abcdyzhang/article/details/537272211.guidedfuzzing的挑战
前方gail·2017-04-17 11:53

2017Web安全工具传说中的神器汇总

编辑|HTTPproxying/editing(14条)三、RSnake的XSS作弊工具,webapp静态分析和编码工具|RSnake’sXSScheatsheetbased-tools,webappfuzzing
流弊的小白·2017-04-17 10:48

AFL的介绍

1.guidedfuzzing的挑战Fuzzing是漏洞挖掘领域最有效的方法之一,可以用来发现大量的远程代码执行和提权的漏洞。然而,fuzzing优势相对肤浅和盲目的。
2er013·2016-12-18 14:31

如何使用AFL进行一次完整的fuzz过程

原文地址https://foxglovesecurity.com/2016/03/15/fuzzing-workflows-a-fuzz-job-from-start-to-finish/近年来,随着越来越多像
2er013·2016-12-06 15:35

NGINX应用安全防护模块-汇总

功能:用于过滤post,get,cookie方式常见的web***防止sql注入,本地包含,部分溢出,fuzzing测试,xss,×××F等web***防止svn/备份之类文件泄漏.防止ApacheBench
zhpfxl·2016-12-06 10:41

nginx + lua 构建网站防护waf(一)

waf的作用:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击防止svn/备份之类文件泄漏防止ApacheBench之类压力测试工具的攻击屏蔽常见
Leader_roncoo·2016-12-02 11:05

基于burp插件的安全测试 2016 /9/10 11:42

注:本文为“小米安全中心”原创,转载请联系“小米安全中心”上期回顾:证书检测二三事前言burp是很多web安全爱好者都会用到的神器,burp专业版集成了代理、fuzzing、重放、扫描等功能,对于自动化扫描功能来说
qq_27446553·2016-09-11 03:58

ELK分析ngx_lua_waf软件防火墙日志

用途:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,×××F等web***防止svn/备份之类
三杯水·2016-07-28 18:57

Kali进行web渗透笔记(十一)

FuzzingWebApplicationInjectingrandomdataintoapplicationshavevaryingeffectsandmayreflectadifferentoutputforeachinput.Thistrial-and-errormethodcouldleadtheattackertovulnerabilitiesthathavenotbeenpreviou
lryong.·2016-06-12 01:14

DVWA

INTRODUCTIONHellodearnull_bytersherewegoagainwithourthirdpartofthisserie.inthisthirdpartofourseriesI'dliketodoademonstrationorcontinuationonfuzzing
anton8801·2016-05-12 11:54

基于ngx_lua_waf模块配置web应用防火墙

lua-nginx-module(openresty)的web应用防火墙github地址:https://github.com/loveshell/ngx_lua_waf 1,用途:防止sql注入,本地包含,部分溢出,fuzzing
linuxsec_cn·2016-05-09 11:52

基于ngx_lua_waf模块配置web应用防火墙

lua-nginx-module(openresty)的web应用防火墙github地址:https://github.com/loveshell/ngx_lua_waf 1,用途:防止sql注入,本地包含,部分溢出,fuzzing
linuxsec_cn·2016-05-09 11:52

基于ngx_lua_waf模块配置web应用防火墙

lua-nginx-module(openresty)的web应用防火墙github地址:https://github.com/loveshell/ngx_lua_waf1,用途:防止sql注入,本地包含,部分溢出,fuzzing
linuxsec点cn·2016-05-09 11:52

模糊测试相关文章

以便以后学习)1.FuzzingwithPeach–Part1(一篇关于运用PeachFuzzzip文件的文章,很详细,下面还有好多问题与回答)2.FuzzingwithPeach–Part2(Fixups
parker1234·2016-04-05 14:00

afl on windows

概要AFL是2015年年初开始流行的一款Linux下的Fuzzer,创新性的引入了forkserver和遗传算法等特性,凭借出色的执行速度和Fuzzing策略在众多软件中发现安全漏洞。
冯震·2016-03-21 00:00

腾讯邮箱邮件正文存储型漏洞

fuzzing,没有神奇的vector详细说明:rootcause:QQ邮箱会将邮件里出现的特殊unicode字符转成自家的图片导致xss过滤函数被绕过。
qq_27446553·2016-01-25 16:00

PHP Fuzzing行动——源码审计

aid=13807----------PHPFuzzing行动——源码审计作者:ShahinRamezany译者:riusksk(泉哥:http://riusksk.blogbus.com)目录:Section1
草帽小子_DJ·2016-01-19 10:37

让 Nginx 支持 WAF 防护功能实战

用途:用于过滤post,get,cookie方式常见的web攻击防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击防止svn/备份之
burt4·2016-01-15 17:17

安装nginx+ngx_lua支持WAF防护功能

第三方模块,它能将lua语言嵌入到nginx配置中,从而使用lua就极大增强了nginx的能力.nginx以高并发而知名,lua脚本轻便,两者的搭配堪称完美.用途:防止sql注入,本地包含,部分溢出,fuzzing
love19791125·2016-01-08 18:00

PHP代码审计和漏洞挖掘

PHP的漏洞发掘,其实就是web的渗透测试,和客户端的fuzzing测试一样,web的渗透测试也可以使用类似的技术,webfuzzing,即基于web的动态扫描。
Leesire·2015-12-26 11:08

PHP代码审计和漏洞挖掘

PHP的漏洞发掘,其实就是web的渗透测试,和客户端的fuzzing测试一样,web的渗透测试也可以使用类似的技术,webfuzzing,即基于web的动态扫描。
nowadaysall·2015-12-26 11:00

SPIKE&FUZZING 模糊测试(收藏)

看雪【技术专题】软件漏洞挖掘之一_SPIKEhttp://bbs.pediy.com/showthread.php?p=481686使用SPIKE进行安全测试http://www.xfocus.net/articles/200311/637.html3.5模糊测试强制性安全漏洞发掘http://book.51cto.com/art/200902/109922.htm3.12更加系统一点的学习【技术
lanceleo·2015-12-14 15:53

从零开始学Fuzzing系列:浏览器挖掘框架Morph诞生记

0×00写在前面欢迎来到《从零开始学Fuzzing系列》。
lanceleo·2015-12-11 09:58

关于PHP代码审计和漏洞挖掘的一点思考

PHP的漏洞发掘,其实就是web的渗透测试,和客户端的fuzzing测试一样,web的渗透测试也可以使用类似的技术,webfuzzing
·2015-12-09 13:44

代码审计方法讲解

PHP的漏洞发掘,其实就是web的渗透测试,和客户端的fuzzing测试一样,web的渗透测试也可以使用类似的技术,web fuzzing,即基于web的动态扫描。
·2015-11-07 12:11

PHP Fuzzing行动——源码审计

目录: Section 1: 20种PHP源码快速审计方式  Section 2: PHP源码审计自动化( PHP Fuzzer )  风险级别: ■ Low ■ Medium ■ High  &nb
·2015-11-02 13:07

服务器400攻击

只要GET,最后的 \r\n 不发送,就会这样 路塔石:这叫fuzzing,维基:http://t.cn/aj0Dfr 或者http:
·2015-10-31 18:29

模糊测试基础概念

百度百科是如此解释:模糊测试(Fuzzing),是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法 《测试之美》一书如下解释:模糊测试是通过对输入数据进行随机修改和破坏来测试程序的方法
·2015-10-30 14:39

利用sqlmap和burpsuite绕过csrf token进行SQL注入

(英文好的可以直接看:http://labs.asteriskinfosec.com.au/fuzzing-and-sqlmap-inside-csrf-p
·2015-10-27 15:26

Android的fuzz测试技术之符号执行浅谈-android学习之旅(82)

简单的漏洞越来越少,需要改进目前的方法:通过符号执行,得出执行路径,然后在进行fuzzy是较为有效的方法之一1)为待测单元自动地生成可到达的测试数据,即提高测试目标的覆盖率2)根据特定的漏洞模式和路径条件,缩小Fuzzing
u010321471·2015-10-23 11:00

Hacker之路技能树(2)

Fuzzing测试了tcpdump-4.6.2,跑了一天1000+的crash,然而版本更新一次后啥都没有了。。
我要打分位·2015-09-13 16:45

owasp zed--Web Sockets

http://digi.ninja/blog/zap_web_sockets.phphttp://digi.ninja/blog/zap_fuzzing.php(一)websocket基础使用下面两张图显示三条信息
j4s0nh4ck·2015-01-31 01:00
上一页 1 2 3 4 5 6 7 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他