BurpSuit渗透测试使用用户自定义根证书

BurpSuit Pro作为web渗透和移动应用客户端渗透已经成为一个不可或缺的截包工具,尤其是在测试网银App或者一些使用https加密传输的App时,特别管用;

但是网上提供的方法大多数是使用Burpsuit自己签发的数字证书,然后导入到要测试的设备里面,是一个不错的办法;但是有的时候,burpsuit会重新生成一个新的证书,导致之前导入到设备里面的证书无效,每次渗透测试都要重新导入,真是特别麻烦。

于是,我就想,是否可以使用用户自己的根证书来签发网站的证书呢?

答案是可以的。

在burpsuit代理设置那里,可以使用用户自己的私钥用于签发证书

bp-gen

 

这样burpsuit给浏览器下发的证书就是使用用户自定义签发的了,这样以后只要把公钥证书放到互联网上,让设备安装这个证书并把代理指向burpsuit就可以截取数据包了!

 

ESPCMS后台验证码不显示的问题(代码写得真是烂)

不得不吐槽espcms代码写得真是太烂了;

后台验证码走登录的时候不显示,导致没办法登录后台;

然后就跟踪啊,调试啊,最终发现,在espcms的/public/class_seccode.php中存在多处代码错误;

其实这些代码错误不只是因为程序员写的不好,是因为网上的教程本来就有问题;

一处是:imagejpeg函数的使用;第二个参数保持空,网上大多数教程都是”,两个单引号,但是这样其实是不对的,应该为null,这样才对,所以导致imagejpeg()函数报告Filename cannot be empty;

官方解决使用方法:http://php.net/manual/zh/function.imagejpeg.php

espcms代码错误的几个地方截图(imagejpeg使用错误的地方不止这处,可以通过搜索查找):

esp_cms_imagejpeg_error

 

angle变量使用错误

局部变量和全局变量不分,导致没办法调用$this->angle(实际写的是$angle)

angle的错误

不得不说,要不espcms怎么会那么多漏洞呢。。

WordPress顶级域名绑定并自动301重定向插件更新版本支持

今天收到wordpress让更新插件版本的提醒,说只要更新一下版本信息即可兼容新版本的wordpress,于是更新了一下。
没有增加什么新功能,仅仅只是简单的更新。

ysd-301redirect.1

WordPress顶级域名访问插件是博主在SAE工作的时候写的一款小插件,主要为那些希望绑定自己域名并将原来域名访问转发为新域名访问的用户提供服务;
如原来的地址为http://test.sinaapp.com/info/1.html 新域名是219.me,则访问http://test.sinaapp.com/info/1.html将自动转发到http://219.me/info/1.html

用户只需要开启插件并使用主域名访问一次博客即可自动绑定,非常容易使用。

插件下载地址:https://wordpress.org/plugins/ysd-301redirect/