測試發現spring boot actuator接口未授權訪問： 之前寫過用mat工具獲取加密數據的明文，下面嘗試通過jolokia接口獲取明文數據： payload： {"mbean ...

呢？當然，Word 並不是惟一一個面對畸形文件時表現得如此糟糕的程序。 Fuzz Test是什么就是用 ...

文章一開始發表在微信公眾號 Fuzz技術綜述 Fuzzing是一種高效的漏洞挖掘方法，它通過不斷地讓被測程序處理各種畸形測試數據來挖掘軟件漏洞。一個Fuzz工具由三個基礎模塊組成，分別是測試用例生成模塊、程序執行模塊以及異常檢測模塊。 各個模塊的作用以及模塊間的交互 ...

前言 本文以 libfuzzer-workshop 為基礎 介紹 libFuzzer 的使用。 libFuzzer簡介 libFuzzer 是一個in-process，coverage-guided，evolutionary 的 fuzz 引擎，是 LLVM 項目的一部分 ...

fuzzDicts Web Pentesting Fuzz 字典,一個就夠了。 log 不定期更新，使用前建議git pull一下，同步更新。 20200510: 用戶名字典下新增了一個百家姓top3000的拼音，去重后188條，Attack!!!. 20200420 ...

模糊測試（fuzz testing）是一種安全測試方法，他介於完全的手工測試和完全的自動化測試之間。為什么是介於那兩者之間？首先完全的手工測試即是滲透測試，測試人員可以模擬黑客惡意進入系統、查找漏洞，這對測試人員的要求比較高。能力強的測試人員可以發現比較多或者高質量的安全性問題，但是如果測試人員 ...

afl 實戰 前言 像 libFuzzer, afl 這類 fuzz 對於 從文件 或者 標准輸入 獲取輸入的程序都能進行很好的 fuzz, 但是對於基於網絡的程序來說就不是那么方便了。 這篇文章介紹用 afl 來 fuzz 網絡應用程序。 介紹 afl 是一個非常厲害的 fuzz，最近 ...

01 安裝與編譯 AFL（American Fuzzy Lop）是Fuzz ing測試工具之一，可以有效地對二進制程序進行fuzz,可以更深入地挖掘漏洞，如堆棧溢出、UAF等。 http://lcamtuf.coredump.cx/afl/releases/?O=D 下載安裝 ...