这两天一直没有更新任何的文章,是因为我一直在想这个加密算法应该怎么写,这几天想了很多,终于写了一个自己觉得还比较完备的加密算法,我们没有写之前首先要明白,做一个加密的算法是一件逻辑性要相对强一点,也就是说考虑的要全面一点,这样才可以保证的是加密之后的密码不那么容易的被破解掉。
通过burp抓包可以看到加密信息. 很明显可以看到 password 参数的值是经过前端加密之后再进行传输的,遇到这种情况,普通发包的爆破脚本就很难爆破成功。所以我们需要明白基础的加密概念,与常见的加密方式。
整体来说就是一次最简单的加密解密,当然这个相对不是特别安全,可以在这个基础之上,对等于号做一些处理,再通过一些其他的算法来多次加密也可以,最好是一些带随机盐的
加密算法将每个字符的 ASCII 码加上常量 10,并将结果转换为字符。解密算法将每个字符的 ASCII 码减去常量 10,并将结果拼接起来后转换为数字。
变量重命名是 JavaScript 代码混淆中最简单且最常用的方法之一。这种方法的基本思想是将所有可能包含敏感信息的变量重命名为无意义的字符串。例如,将 username 替换为 a,将 password 替换为 b。将变量名替换为无意义的字符串或者短字符,使得人类阅读难度大大增加。例如:
F12 network查看请求,切换页码观察规律,主要变化为两个参数page和m
爬虫和反爬虫是一条很长的路,遇到过js加密,flash加密、重点信息生成图片、css图片定位、请求头.....等手段;今天我们来聊一聊字体; 那是一个偶然我遇到了这个网站,把价格信息全加密了;浏览器展示:
注意:使用 btoa 和 atob 进行加解密时,只能处理 ASCII 码字符,对于 Unicode 字符可能会出现不可预料的结果。
例: -某视频 模拟器抓包 -某Web站 Burp直接抓 -博客登录 登陆框抓包,查看加密方式 -APP-斗地主 传输过程中数据加密 影响:漏洞探针
一个页面跳转到另外一个页面直接将参数写在URL上面并不安全比如 http://XXXXXXXXXXX/meeting/shakeGroup?id=5381&uid=o0En_sj1J0bF
crypto是node.js中实现加密和解密的模块 在node.js中,使用OpenSSL类库作为内部实现加密解密的手段 OpenSSL是一个经过严格测试的可靠的加密与解密算法的实现工具
为了让微信接口的调用更加安全,微信服务器要对支付接口和JS-SDK接口进行加密和校验。因此开发调取微信支付和JS-SKD接口,必须了解微信签名的规则。
官网关于签名生成的规则:参与签名的字段包括noncestr(随机字符串), 有效的jsapi_ticket, timestamp(时间戳), url(当前网页的URL,不包含#及其后面部分) 。对所有待签名参数按照字段名的ASCII 码从小到大排序(字典序)后,使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串string1。这里需要注意的是所有参数名均为小写字符。对string1作sha1加密,字段名和字段值都采用原始值,不进行URL 转义。
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
大家好! 先说个冷知识,现在业界对 Python 爬虫技术服务的需求量正在暴涨,当下早已供不应求,且有愈演愈烈的趋势。极不平衡的供需关系,使爬虫服务的价格变得极高。几乎所有的 Python 圈内人,都在利用爬虫技术接私活赚钱。 近期爬虫私活接单记录,大家随意感受一下👇 爬虫之所以会大受欢迎,是因为在这个万物互联的时代,人们在网络世界中的行为产生了大量数据,这些数据有着极大的商业价值!而爬虫作为最好的数据采集技术,自然会受到广泛关注。 虽说爬虫私活的订单多、需求大、报酬也很丰厚,但这钱也不是轻轻松松就能赚到
本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!
这篇文章是之前发在博客的, 我特么的=-=今天有事耽搁了,另外一篇文章的排版没出来,为了拿原创的邀请。再发一遍吧。。下面是正文... 最近Freebuf的某作者发布这篇文章真的是让人炸锅了,几
我想要一个自己的工具站~一个不会说挂就挂的网站~ 然后~~ 卧槽。一不小心就折腾了出来,此处应有链接 http://tools.yimo.link/
本文会介绍几种分析技巧,需要一点前端知识(总感觉在前端做防爬没什么意义,因为源码都是公开的)。文末附上爬虫 Demo 验证,虽然对于这个案例来说使用 Selenium 可能才是合适的解决方法,但暴力破解才是男人的浪漫!...嗯本文的重点只是在于分析解密的过程。有些图片因代码过长未包含在内,意会即可。
我们知道一个字节可表示的范围是 0 ~ 255(十六进制:0x00 ~ 0xFF), 其中 ASCII 值的范围为 0 ~ 127(十六进制:0x00 ~ 0x7F);而超过 ASCII 范围的 128~255(十六进制:0x80 ~ 0xFF)之间的值是不可见字符。
本文讲述了一段神奇的JavaScript代码,该代码具有混淆、加密、运行时提取、执行任意代码等能力。尽管代码本身很难阅读,但它的实现相对简单,可以用于学习JavaScript代码混淆和加密技术,也可以用于编写自定义的代码混淆和加密工具。
上面的代码由!()*+-[]{}~这11种符号组成,其实这些符号都是JS的操作符,而上面的代码在执行后转换成字符串则是因为:
https://soha.moe/post/ustc-ctf-2018-writeup.html#title2-index-22
之前写了一篇介绍token的文章:简单理解Token机制,token算法自己设计的,使用了随机算法,导致token无法进行反向解密。所以我当初使用了redis进行存储token,前端调用API时需要携带token进行身份验证,token有效期48小时。但是我们有说过:sessionid是需要空间进行存储的,但是token在服务器是可以不需要存储用户信息的。所以我们能不能做到用户注册登陆成功给用户生成一个token返回给客户端,等前端携带token调用API时我们直接解析token看能否解析出用户数据来决定用户是否有接口权限呢?事实上NodeJS提供的一个npm包:jsonwebtoken就可以实现token的生成与反向解密出用户数据。接下来我们看看jsonwentoken如何进行使用。
Node.js 20 已经发布,带来了创新和激动人心的新时代。这个开创性的版本于2023年4月18日首次亮相,并将在2023年10月发布长期支持(LTS)版本,并且将持续支持至2026年4月,下面小编就为大家介绍一下Node.js20的几个新特性:
在线练习: http://noi.openjudge.cn/ https://www.luogu.com.cn/
在我们项目开发中,Base64想必大家都不会很陌生,Base64是将「二进制数据」转换为文本的一种优雅方式,使存储和传输变得容易。但是,作为一个合格的程序员,我们应该有一种打破砂锅问到底的求助欲望。
编码根据百度百科的解释:指的是信息从一个形式或格式传换为另一种形式的过程,也称为计算机编程语言的代码简称编码。从我们的祖先仓颉造字再到0-9的阿拉伯数字的广泛使用,信息的记录和转化的形式也越来越多样化。那么在计算机以及通信等数字化领域,以01数字为基础同样也演变出了适用计算机不同领域的编码方法。其实编码的本质就是在原有字符集的基础上根据规则进行格式的转换,在CTF中misc类型的题中少不了有编码的存在,作为ctf的基础必备技能,为此斗哥整合了目前ctf中出现的各种各样的编码,以作为新手入门的一二指南。
前一个星期一直再弄爬取网易云音乐的评论,真是一波三折,网页又是动态js,普通的方法获取不了,还有它发送的参数也要经过加密才....这篇文章就是写一下Crypto模块的使用。
在一些关键业务接口,系统通常会对请求参数进行签名验证,一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中,如果没办法绕过签名校验,那么就无法进一步漏洞检测。
本文介绍通过调用蚂蚁BAAS的TEE硬件隐私链的JS SDK,完成智能合约读取,编译和加密部署功能。然后通过基于EXPRESS框架搭建的前端页面完成该姓名/年龄前端系统的写入/查询功能,演示隐私链的接口基本功能。
2.当我们作为一个毫无办法的新手时,我们需要做的第一件事就是“搜”。 3.搜什么呢?如上图数据包,哪里加密搜哪里。这里搜frameUrlSecretParam与frameBodySecretParam。 4.我们的frameUrlSecretParam搜出来存在与一段混淆加密的js里。
默认分离 binwalk -e xxx.xxx dd命令分离 # dd if=xxx.xx of=a.xxx skip=12345 bs=1 [ if是指定输入文件,of是指定输出文件,skip是指定从输入文件开头跳过12345个块后再开始复制,bs设置每次读写块的大小为1字节 ]
之前对分享功能的实现也知道个七七八八,但一直没有在业务中实现过。今年参与的盲盒类产品正好用到了分享功能,包括:
Sodinokibi(又名REvil)在过去的几年里一直是最多产的勒索软件即服务(RaaS)组织之一。据称,这一勒索软件家族是Travelex 入侵事件的幕后黑手,目前的报道指出,针对Acer(宏碁)的一次攻击,要求支付5000万美元的赎金。
本文将详细的介绍前端 Base64 编码知识,探索起源,让大家对开发经常用到的 Base64 有个更全面深入的认知。
高级加密标准(AES,Advanced Encryption Standard)为最常见的对称加密算法(微信小程序加密传输就是用这个加密算法的)。对称加密算法也就是加密和解密用相同的密钥,具有以下几个特点:
研究人员发现了一种新的凭据窃取恶意软件,名为 Zaraza。该恶意软件使用 Telegram 作为 C&C 的信道,且 Zaraza 是俄语“感染”的意思。 Zaraza 以大量浏览器为攻击目标,并且在俄语 Telegram 频道中积极宣传。一旦 Zaraza 入侵成功,就会检索失陷主机上的敏感数据并将其通过 Telegram 发送给攻击者。 Zaraza 能够通过 38 个浏览器中窃取用户凭据,包括 Google Chrome、Microsoft Edge、Opera、AVG Browser、Brave
JSON - https://www.cnblogs.com/lanston1/p/11024147.html
在写爬虫经常会遇到很多JS代码,比如说某些参数加密,可以只用用Python来翻译,但是有时候代码不容易阅读(JS渣渣),所以这里直接去找一条捷径,直接用Python的第三方库去调用JS代码。
由于目前UIWebView 已经被抛弃了,因此推荐使用WKWebView的WKScriptMessageHandler实现iOS与JS交互
作为一名程序员,每天工作中都需要用到各种各样的工具,比如 JSON 格式化、正则表达式测试、二维码生成等等。这些工具虽然都很小,但是却非常实用。了不起觉得,如果能够把这些工具整合在一起,那就方便多了。
可以分作三部分组成 第一部分是:ASCII非打印控制字符 第二部分是:ASCII打印字符; 第三部分是:扩展ASCII打印字符
密码学是各种安全应用程序所必需的,现代密码学旨在创建通过应用数学原理和计算机科学来保护信息的机制。但相比之下,密码分析旨在解密此类机制,以便获得对信息的非法访问。
一个人打了一天,web太过简单了,AK 加起来没有misc一题分高,其他方向就浅浅会一点,最后就拿了个115名。
设计安全方案的基本原则,中文翻译“默认安全”不太好理解,其实就包含两层含义:白名单/黑名单思想,和最小权限原则。
MD5 import hashlib c = raw_input('输入字符:') #python3为input b = hashlib.md5() b.update(c.encode(encoding='utf-8')) print ('MD5加密前:'+ c) print ('MD5加密后:'+b.hexdigest())
本文仅仅介绍了常见的一些JS加密,并记录了JS和Python的实现方式 常见的加密算法基本分为这几类: (1)base64编码伪加密 (2)线性散列算法(签名算法)MD5 (3)安全哈希算法 SHAI (4)散列消息鉴别码 HMAC (5)对称性加密算法 AES,DES (6)非对称性加密算法 RSA
领取专属 10元无门槛券
手把手带您无忧上云