12 2023 档案

摘要:简介 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于 阅读全文
posted @ 2023-12-28 14:48 小C学安全 阅读(378) 评论(0) 推荐(0) 编辑
摘要:简介 基于 MITRE ATT&CK™ 和恶意软件行为特征编写而成的火绒自定义防护规则,能够检测,阻止,拦截各类恶意软件,高级持续性威胁(APT)的攻击载体和攻击途径,典型的如无文件攻击,漏洞攻击,加密勒索等。同时具有较高的可扩展性和可维护性,对社区开发者友好。 安装使用 下载最新规则版本,解压文件 阅读全文
posted @ 2023-12-26 09:19 小C学安全 阅读(727) 评论(0) 推荐(0) 编辑
摘要:简介 自定义证书 查看Cobalt strike默认证书 发现特征含有cobaltstrike关键字 常用keytool命令 查看证书文件:keytool -list -v -keystore xx.store 修改证书密码:keytool -storepasswd -keystore test.s 阅读全文
posted @ 2023-12-22 19:57 小C学安全 阅读(592) 评论(0) 推荐(0) 编辑
摘要:简介 众所周知,为了保障商用密码的安全性,国家商用密码管理办公室制定了一系列密码标准,包括SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法(ZUC)那等等。 SM1、SM4、SM7、祖冲之密码(ZUC)是对称算法;SM2、SM9是非对称算法;SM3是哈希算法。其中SM1、S 阅读全文
posted @ 2023-12-21 19:19 小C学安全 阅读(785) 评论(0) 推荐(0) 编辑
摘要:props props可以实现父子组件通信,不管是在vue2或者vue3,props数据还是只读的!!!不能直接修改其值;在vue3中,我们可以通过defineProps获取父组件传递的数据,且在组建内部不需要引入defineProps方法可以直接使用,如下面例子 Parent.vue //父组件 阅读全文
posted @ 2023-12-20 12:38 小C学安全 阅读(21) 评论(0) 推荐(0) 编辑
摘要:简介 本文主要讲常规分页爬取与利用Scrapy框架怎么快捷的爬取分页的数据以及cookie登录,案例网站时17k小说网,url是https://www.17k.com/ 常规分页爬取 Scrapy框架分页爬取 cookie登录 分页 常规分页爬取 常规分页爬取,直接观察页面数据,一共有多少页数据,就 阅读全文
posted @ 2023-12-14 10:02 小C学安全 阅读(281) 评论(0) 推荐(0) 编辑
摘要:Spider代码 class BizhizolSpider(scrapy.Spider): name = "bizhizol" allowed_domains = ["zol.com.cn"] start_urls = ["https://desk.zol.com.cn/youxi/"] def p 阅读全文
posted @ 2023-12-13 15:46 小C学安全 阅读(49) 评论(0) 推荐(0) 编辑
摘要:Spider代码 爬取新浪彩票双色球页面数据,只爬取期号、红球、篮球 class Shuangseqiu11Spider(scrapy.Spider): name = "shuangseqiu11" allowed_domains = ["sina.com.cn"] start_urls = ["h 阅读全文
posted @ 2023-12-13 15:41 小C学安全 阅读(120) 评论(0) 推荐(0) 编辑
摘要:AppinfoScanner资产提取 AppinfoScanner一款适用于以HW行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、攻击队成员、红队成员快速收集到移动端或者静态WEB站点中关键的资产信息并提供基本的信息输 阅读全文
posted @ 2023-12-13 10:15 小C学安全 阅读(326) 评论(0) 推荐(0) 编辑
摘要:无法获取APP数据包 通常获取不到APP应用数据包会有两种情况: 反代理机制 反证书机制 如果数据走的ssl https,那么数据包有三种验证情况: 客户端不存在证书校验,服务器也不存在证书校验。 客户端存在校验服务端证书,服务器也不存在证书校验,单项校验。 客户端存在证书校验,服务器也存在证书校验 阅读全文
posted @ 2023-12-13 10:07 小C学安全 阅读(2253) 评论(0) 推荐(0) 编辑
摘要:Scrapy简介 Scrapy 是一个用于爬取和提取数据的开源web抓取框架。它提供了一个强大的机制,让开发者可以轻松地创建和管理爬虫程序,以从网站上自动提取结构化的数据。 以下是Scrapy的一些主要特点和优势: 强大灵活的爬取能力:Scrapy具有高度可配置的请求处理和数据提取功能。它可以轻松地 阅读全文
posted @ 2023-12-12 17:46 小C学安全 阅读(226) 评论(0) 推荐(0) 编辑
摘要:简介 现如今大部分微信小程序抓包看到的数据均是加密的,无法通过常规的业务抓包进行测试,现通过对微信小程序包进行解密,获取到微信小程序源码对加解密算法进行分析。当数据包里都是密文,我们无从下手;就算是获得了加解密的一些关键信息,能解密出来,但是每个数据包我们都需要慢慢解密,请求包需要解密,响应包也需要 阅读全文
posted @ 2023-12-11 15:52 小C学安全 阅读(4074) 评论(0) 推荐(0) 编辑
摘要:前期准备 逍遥模拟器 Burp(抓包) 测试APP frida wireshark r0capture 反代理和证书校验绕过 解决app证书校验无法抓包问题 使用工具:Frida Firda 是一款易用的跨平 Hook 工具, Java 层到 Native 层的 Hook 无所不能,是一种 动态 的 阅读全文
posted @ 2023-12-11 15:10 小C学安全 阅读(790) 评论(0) 推荐(1) 编辑
摘要:接口分析 获取接口地址 选择自己感兴趣的抖音博主,本次以“经典老歌【车载U盘】”为例 每次请求的页面会有很多接口,需要对接口进行筛选: 第一步筛选XHR筛选 第二步筛选URL中带有post 通过筛选play_add值找到视频的地址 分析请求头 通过对比两次请求发现只有X-Bogus数值会有变化,ma 阅读全文
posted @ 2023-12-09 17:25 小C学安全 阅读(4068) 评论(2) 推荐(0) 编辑

点击右上角即可分享
微信分享提示