当登录表单里的密码在提交前就被JavaScript搅得面目全非时，不少新手渗透测试员会下意识地皱起眉头。前端加密，听起来像是给爆破工具套上了一层枷锁。但真相是，这层防护在专业的渗透测试视角下，往往脆弱得像个纸灯笼。它防君子，不防“究极”的自动化攻击。 前端加密的本质：一场自欺欺人的戏剧 “客户端安全感”的幻觉 开发者在密码字段绑定一个onSubmit事件，用CryptoJS或者自定义算法把明文转成密文，然后心满意足地...

在Web渗透测试中有一个关键的测试项：密码爆破。 目前越来越多的网站系统在登录接口中加入各式各样的加密算法，依赖于BurpSuite中的那些编码方式、Hash算法已经远远不够，这里给大家介绍一款支持AES/RSA/DES(即将支持)加密算法，甚至可以直接将加密算法的js运行与BurpSuite中的插件：BurpCrypto。 安装 BurpCrypto可从其官方Github页面进行下载已编译好的版本，或下载源代码本地...