摘要:
昨天在测某项目的时候发现前端中使用的Websocket协议(以下简称WS)传参,因为刚好那天群的某*行的老哥也在测内网的一个使用Websocket协议的应用,所以特意去了解了一下,研究测试后发现存在SQL注入,当时问表哥们sqlmap是否支持该注入,答案是否定的,但表哥给出了解决方案,我们后面讲。 阅读全文
摘要:
1.简要说明 系统业务: XX公司notes7邮件系统 测试过程: 手工测试+自动扫描 漏洞原理: 我方远程通过手工进行检查,发现网站的Lotus notes7邮件系统存在一般用户弱口令账号漏洞和密码后门,远程攻击者可以登录notes7系统的用户管理界面进行操作,一般用户可以通过密码后门获得公司所有 阅读全文
摘要:
1、以frida为例: frida是一款代码插桩工具,它可以向windows,macOS,Linux,iOS,Android等平台的原生应用中注射自定义的JavaScript和python代码片段,使用python和javascrip进行hook模块的开发。 (1)准备一台已Root手机,连接至PC 阅读全文