摘要:
定义: 最流行的互联网应用之一。其使用HTTP/HTTPS协议进行通信。HTTP/HTTPS协议,即超级文本(带超级链接的文本)传输协议,定义了Web浏览器与Web服务器之间的通信规则。 HTTP/HTTPS协议有请求数据包和响应数据包两种: 请求数据包_头部字段:方法 URL 版本; Accpet 阅读全文
摘要:
... 阅读全文
摘要:
基础 模拟器:夜神/蓝手指BlueStacks、MuMu模拟器、 抓包器:burpsuite、Fidder adb连接 pc-cli调试模拟器 夜神-62001端口 APP安全测试流程 1 信息收集:域名、子域名、DNS地址、后台地址。 2 APP应用层渗透: 类似web渗透流程!无法漏扫——只能抓 阅读全文
摘要:
工具大全: airgeddon、airmon-ng、kali的airodump、aircrack-ng、roguehostapd、Wifiphisher、Easy-Creds、Airgeddon、WiFi-Pumpkin、wef WEF 安装 用法:https://www.wbcsec.net/31 阅读全文
摘要:
业务逻辑漏洞的关键词:薅羊毛、与钱有关、通常为互联网公司的业务、代码逻辑不严谨。 身份认证 俗称“登录框安全”。可通过完善源码的登录失败处理机制,提升身份认证的安全性。 万能密码 #万能密码 用户:admin' or 1=1 # 密码:随意 用户:admin' or '1'='1 密码:随意 用户名 阅读全文
摘要:
注:在此讨论的中间件漏洞,包含web中间件、开发框架(ThinkPHP等)、安全框架(Apache shiro等)、CMS(discuz/dedecms等)、一键集成环境(phpstudy/bt等)。 IIS、 Apache、 Tomcat、 Nginx、 Struct2、 weblogic、 we 阅读全文
摘要:
CSRF 跨站请求伪造 原理:利用cookie等认证凭据进行攻击。 流程:用户登录正常网站后,访问恶意网站,点击欺骗性按钮后触发指向正常网站的伪造请求。(借助社工手段) 触发方式:<a>或<img>标签(get或post请求均可)。 防御方式:区分POST/GET请求、验证Referer字段、验证T 阅读全文