测试发现spring boot actuator接口未授权访问： 之前写过用mat工具获取加密数据的明文，下面尝试通过jolokia接口获取明文数据： payload： {"mbean ...

呢？当然，Word 并不是惟一一个面对畸形文件时表现得如此糟糕的程序。 Fuzz Test是什么就是用 ...

文章一开始发表在微信公众号 Fuzz技术综述 Fuzzing是一种高效的漏洞挖掘方法，它通过不断地让被测程序处理各种畸形测试数据来挖掘软件漏洞。一个Fuzz工具由三个基础模块组成，分别是测试用例生成模块、程序执行模块以及异常检测模块。 各个模块的作用以及模块间的交互 ...

前言 本文以 libfuzzer-workshop 为基础 介绍 libFuzzer 的使用。 libFuzzer简介 libFuzzer 是一个in-process，coverage-guided，evolutionary 的 fuzz 引擎，是 LLVM 项目的一部分 ...

fuzzDicts Web Pentesting Fuzz 字典,一个就够了。 log 不定期更新，使用前建议git pull一下，同步更新。 20200510: 用户名字典下新增了一个百家姓top3000的拼音，去重后188条，Attack!!!. 20200420 ...

模糊测试（fuzz testing）是一种安全测试方法，他介于完全的手工测试和完全的自动化测试之间。为什么是介于那两者之间？首先完全的手工测试即是渗透测试，测试人员可以模拟黑客恶意进入系统、查找漏洞，这对测试人员的要求比较高。能力强的测试人员可以发现比较多或者高质量的安全性问题，但是如果测试人员 ...

afl 实战 前言 像 libFuzzer, afl 这类 fuzz 对于 从文件 或者 标准输入 获取输入的程序都能进行很好的 fuzz, 但是对于基于网络的程序来说就不是那么方便了。 这篇文章介绍用 afl 来 fuzz 网络应用程序。 介绍 afl 是一个非常厉害的 fuzz，最近 ...

01 安装与编译 AFL（American Fuzzy Lop）是Fuzz ing测试工具之一，可以有效地对二进制程序进行fuzz,可以更深入地挖掘漏洞，如堆栈溢出、UAF等。 http://lcamtuf.coredump.cx/afl/releases/?O=D 下载安装 ...