在Web渗透测试或恶意软件分析的世界里，assert这个看起来人畜无害的PHP函数，常常成为安全人员后背一凉的发现。它不像eval()那样臭名昭著，但其在WebShell中扮演的角色，其危险性甚至更为隐蔽和灵活。 assert不是用来“断言”的吗？ 许多开发者对assert()的认知停留在调试阶段。它的设计初衷是在开发时检查某个条件是...

在Web渗透测试中有一个关键的测试项：密码爆破。 目前越来越多的网站系统在登录接口中加入各式各样的加密算法，依赖于BurpSuite中的那些编码方式、Hash算法已经远远不够，这里给大家介绍一款支持AES/RSA/DES(即将支持)加密算法，甚至可以直接将加密算法的js运行与BurpSuite中的插件：BurpCrypto。 安装 B...

打开网页，发现一行字符提示： put me a message bugku then you can get the flag Burpsuite抓包修改为PUT上传参数bugku，然后go： 获得一串字符，看起来是base64，去解码