随笔分类 - 网络安全
摘要:最近在研究APP渗透测试,本文利用Drozer安全测试框架对Android四大组件进行了安全测试,Drozer允许一个普通android应用的身份与其他应用和操作系统交互。移动端渗透测试工具相比丰富的web端真的是少之又少,Drozer是一种交互式的APP安全测试工具。使用Drozer进行安全测试,用户在自己的工作站上输入命令,Drozer会将命令发送到Android设备上的代理程序执行。
阅读全文
摘要:其中dictionary.txt文件为破解口令的字典文件,passwords.txt文件为临时存放UNIX系统密码的文件
阅读全文
摘要:SQL注入已经在前一章为大家介绍了个大概,本文将讲述我遇到的本以为是文件上传漏洞,却是以文件名触发的SQL注入! 本文分享的内容同样来自于一道CTF题! 1. 直接进入正题 (1) 初步探测 先看一下主页面(题目需要注册登录,这里直接跳过了) 就这个页面,我不知道你看到的时候会怎么认为,我的第一想法
阅读全文
摘要:1. 首先要了解SQL注入的原理: SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意
阅读全文
