首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

pcAnywhere SRC

│ │ ├─pawcmprs │ │ │ └─SRC │ │ ├─pawcomn │ │ │ └─SRC │ │ ├─pawdsm │ │ │ └─SRC │ │ ├─pawrem │...│ │ └─SRC │ │ ├─pawsess │ │ │ └─SRC │ │ └─pawterm │ │ └─SRC │ └─Source │ ├─COLLECT.BIN │ │ └─...SRC │ ├─Include │ │ └─Src │ ├─INF │ │ └─SRC │ ├─Nobuilds │ │ └─Src │ ├─npawhelp │ │ └─SRC │...│ └─OLD │ ├─npawrem │ │ └─SRC │ ├─pawcmprs │ │ └─SRC │ ├─pawcomn │ │ └─SRC │ ├─pawdsm │ │ └─SRC...│ ├─pawhelp │ │ └─SRC │ │ └─OLD │ ├─pawrem │ │ └─SRC │ ├─pawsess │ │ └─SRC │ ├─pawtcp │ │ └

1.3K30
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    SRC逻辑漏洞挖掘浅谈

    1.资产收集 1.1业务范围 巧用搜索引擎首推谷歌查看了解SRC旗下涉及到的业务,收集其对应的业务下的域名,再进一步进行挖掘,如: ? ? 整理,再进行常规资产收集 ?...网页源码/js/json泄漏敏感接口 1)接口泄漏 ? 2)json敏感信息泄漏 ? ?...,因此打算写一个,目前还正在编写中,主要基于chrom协议、pyppeteer框架动态触发爬取包含ajax以尽可能的收集到url、接口、域名: a)网站源码涉及到的子域名ur接口资产爬取 b)网站源码js...中包含的请求或拼接的访问接口 c高级功能)url接口中json信息泄漏识别 备注:该部分的具体内容将在下一篇文章【谈js静态文件在漏洞挖掘中的利用】继续更新 1.4其他业务查找 微信公众号绑定接口、app...id 直接访问后台链接禁用js则不会跳转登录界面,直接登陆 登陆分为账号和游客登陆,游客功能有限,app端只前端检测,模拟发包即可 越权订单查看打印下载、越权操作他人收货地址、增删改查等。

    3.6K22

    SRC漏洞挖掘经验分享

    找到一个登录框,直接登录,看到一排按钮个人登录日志设置本次漏洞就出在这个登录日志上,点开它IP时间状态x.x.x.x2022成功到这里就应该有思路了,页面显示了用户的IP,也就是存在交互点,那么我们就可以尝试将JS...注入IP一栏状态显然不止有"成功",肯定也有"失败",不然它就没有意义了,也就是说如果存在注入,我们无需登录即可将JS注入用户界面,进而在用户登录后造成攻击现在的问题是,如何修改IP,也就是探究网站识别用户...XFF请求头,X-Forwarded-For: alert(1);先故意输入错误的密码,然后去掉XFF请求头正常登录成功弹框,验证了漏洞存在,关掉弹框看一下,逗号左边就是JS...javascript:alert(1);成功弹框,也就是说有些标签的不会被编码再找一个绕过方式添加一个图片然后发表,并进行抓包修改为结果并没有出现弹框...,查看前端代码,onerror被替换为空了尝试双写绕过onerroonerrorr,让中间的onerror被替换为空,最后保留一个onerror成功弹框

    1K10

    Norton AntiVirus 2006 SRC

    │ │ │ ├─LIB.IRA │ │ │ └─SRC │ │ ├─INCLUDE │ │ │ └─SRC │ │ ├─ISHIELD3 │ │ │ └─SRC │ │ ├─ISNAVNT...LIB.IRA │ │ └─SRC │ ├─INCLUDE │ │ └─SRC │ ├─ISHIELD3 │ │ └─SRC │ ├─ISNAVNT │ │ └─SRC │ ├─ISUSER...│ │ └─SRC │ ├─SETUPBLD │ │ ├─LIB.IRA │ │ └─SRC │ ├─TESTDEFS │ │ └─SRC │ ├─TIMEHELP │ │ ├─LIB.IRA...│ ├─LIVEUPDATEI │ │ └─src │ ├─LUADMIN │ │ ├─LIB.BIN │ │ └─SRC │ ├─LUADMIN.AXP │ │ └─SRC │ ├─...│ │ │ └─src │ │ ├─navntutl │ │ │ └─src │ │ ├─nobuilds │ │ │ └─src │ │ ├─scandlvr │ │ │ └─src

    1.9K10

    如何在chrome中实时修改JS

    在chrome65以前,我们可以打开目标网页的开发者工具—source选项卡—目标JS/CSS文件,然后在相关位置写入代码保存后即可看到改动后的效果。...chrome65之后需要进行本地代码替换,本文就介绍一下如何在chrome中用本地代码替换在线代码,以达到在线修改JS的效果。...首先要确定待修改文件的网络位置: 722f06ae-8b6f-40df-b4ab-6ece4d5f66fa.png 第二步,在本地创建一个空文件夹,名字随意。...: 4a2a22a0-bec0-4276-8e6f-60661495b5c3.png 刷新页面,效果已经有了: 86d64d69-a7da-4edb-a5a8-5d34760bf500.png 这种修改方式是持久化的...,也就是说,哪怕你关机重启,再打开目标网页,替换效果依然存在,而且你在本地对目标文件做的修改都会同步到页面上,非常好用!

    36.7K32

    SRC信息收集思路分享

    微信搜一搜: 百度搜一搜: 现在有活动的src已经浮现水面了,那么我们就可与从中选择自己感兴趣的SRC。...0x02 确认测试范围 前面说到确定测什么SRC,那么下面就要通过一些方法,获取这个SRC的测试范围,以免测偏。...可能是a;百度SRC可能是bd等。...来自HZ师傅的建议,可以修改一下工具,基于当前的基础上,检测获取的URL是否可以访问,访问后的页面大小为多少,标题是什么。。。 思路放这了,找个时间改一改?...对于渗透测试来说,JS文件不仅仅能够找到一些URL、内网IP地址、手机号、调用的组件版本等信息,还存在一些接口,因为前端需要,所以一些接口将会在JS文件中直接或间接呈现。

    1.9K22

    SRC漏洞挖掘经验分享

    看到一排按钮 个人 登录日志 设置 本次漏洞就出在这个登录日志上,点开它 IP 时间 状态 x.x.x.x 2022 成功 到这里就应该有思路了,页面显示了用户的IP,也就是存在交互点,那么我们就可以尝试将JS...注入IP一栏 状态显然不止有"成功",肯定也有"失败",不然它就没有意义了,也就是说如果存在注入,我们无需登录即可将JS注入用户界面,进而在用户登录后造成攻击 现在的问题是,如何修改IP,也就是探究网站识别用户...请求头,X-Forwarded-For: alert(1); 先故意输入错误的密码,然后去掉XFF请求头正常登录 成功弹框,验证了漏洞存在,关掉弹框看一下,逗号左边就是JS...javascript:alert(1); 成功弹框,也就是说有些标签的不会被编码 再找一个绕过方式 添加一个图片然后发表,并进行抓包 修改为 结果并没有出现弹框,查看前端代码,onerror被替换为空了 尝试双写绕过onerroonerrorr,让中间的onerror被替换为空,最后保留一个

    33521

    url、href和src区别

    /aaa">内容、 “..”:代表上一层的目录,相对路径。如:内容、<img src=".....二、href与src区别 相信大家对href和src一定不会陌生,平时我们开发项目,只知道a和link标签习惯性的,行尸走肉式的使用href;而img和script也是习惯性的使用src链接资源。...然而我们对于为什么使用href或者src并不是太深入的了解。 href和src是有区别的,而且是不能相互替换的。...这个过程与把js文件放到标签里类似。这也是建议把JS文件放到底部加载的原因。当然,img标签页与此类似。浏览器暂停加载直到提取和加载图像。...总结: src用于替换当前元素(比如:引入一张图片);href用于在当前文档和引用资源之间建立联系。 四、相关资料 URL 详解 href和src sf.gg资料 URL 进阶

    6.8K50
    领券