摘要:
水了好长一段时间了,是时候静下心来好好学习了。前段时间经历了人生中第一次面试,做做总结,查漏补缺。 面试问题 top 10 CSRF 修复方式 get 类型 填加 token 或者验证码,因为单纯验证 referer 极易被绕过(如将链接留在评论留言处) post 类型 验证 referer 可有效 阅读全文
摘要:
参考文章 一篇文章带你理解漏洞之 Python 反序列化漏洞 Python Pickle/CPickle 反序列化漏洞 Python反序列化安全问题 pickle反序列化初探 前言 上面看完,请忽略下面的内容 Python 中有很多能进行序列化的模块,比如 Json、pickle/cPickle、S 阅读全文
摘要:
参考文章 安卓漏洞学习 测试 app:diva 漏洞点 不安全的日志输出 主要是由于 app 代码中将敏感信息输出到 app 的 logcat 中 使用 adb 工具查看安卓日志:adb logcat 硬编码 开发人员将密码/密钥等敏感字符字节写在源代码中 不安全的存储 将敏感数据保存到配置文件xm 阅读全文
摘要:
参考文章 portswigger. 开发“属于你自己”的Burp Suite插件 碰到的问题 环境问题 教程一大把,下载 jython,然后 BURP 内选择该环境即可 抄一篇文章上的示例代码,测试测试,看能不能跑通 好家伙,直接来一个报错,ImportError: cannot import na 阅读全文
摘要:
参考文章 Android 安全测试框架 Drozer-使用篇 Android四大组件 Android暴露组件——被忽略的组件安全 APP下载 Sieve FourGoats 前提知识 AndroidManifest.xml AndroidManifest.xml 文件是整个应用程序的信息描述文件,包 阅读全文
摘要:
搞什么内网啊,Android 多有趣! 大师傅文章 drozer工具的安装与使用:之一安装篇 Android安全测试框架Drozer(安装篇) adb 安装使用 所需环境/工具及官方下载地址(Windows) Python2.7 安卓模拟器 Dorzer 电脑端 Dorzer 安卓端 adb(And 阅读全文
摘要:
【下文中的图片显示不全,点击可看全图】 工具 node.js wxappUnpacker 安卓模拟器-夜神 步骤 下载安装 node.js,添加到环境变量(好像安装的时候默认添加到环境变量) cmd 里输入 node -v 出现版本号即表示安装成功 下载夜神模拟器,并安装微信、RE文件管理器(系统自 阅读全文
摘要:
参考文章 PHP中的变量覆盖漏洞 简介 变量覆盖 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:开启了全局变量注册、$$ 使用不当、extract() 函数使用不当、parse_str() 函数使用不当、import_request_variables() 使用不当 阅读全文
摘要:
前言 求求了,给我一个低危吧! Content 看到下面一个请求包,发个验证码附带了这么多的参数,那么肯定是有些问题滴!! 一般比较典型的短信轰炸漏洞,要么是未作任何限制,要么是添加 +、空格等可以绕过 最近在测试的时候,发现了一点新东西,利用请求中的其他参数也可以造成短信轰炸漏洞,比如说: 场景 阅读全文
摘要:
参考文章 快速定位前端加密方法 渗透测试-前端加密测试 前言 最近学习挖洞以来,碰到数据做了加密基本上也就放弃了。但是发现越来越多的网站都开始做前端加密了,不论是金融行业还是其他。所以趁此机会来捣鼓一下。 从上图可以看到,网站在前端对我的账号密码做了加密处理。前端加密的好处在于防止数据被劫持后直接泄 阅读全文