摘要：概述 利用文件上传漏洞，往目录站点上传一句话木马(简称webshell)，再使用中国菜刀chopper.exe，即可提取系统权限。 常见形式 php的一句话木马： asp的一句话是： <%eval request ("pass")%> aspx的一句话是： <%@ Page Language="Js 阅读全文

摘要：APP面临的威胁 APP评估思路 APP自动化检测思路 安全测试要点 证书和签名 1. 将apk文件更名为zip 2. 使用unzip解压 3. META INF中包含签名文件和真正的CERT.RSA文件(公钥证书自签名) 4. 使用keytool工具查看证书内容 5. cat META INF/C 阅读全文

摘要：反编译 Android的反编译工具：apktool，JEB等。 Apk 文件的结构，如下： 1. META INF：签名文件 2. res：资源文件，里面的 xml 格式文件在编译过程中由文本格式转化为二进制的 AXML 文件格式 3. AndroidManifest.xml：android 配置文 阅读全文

摘要：Android渗透 移动APP大多通过WEB API服务的方式与服务端进行交互，这种模式把移动安全和web安全绑在一起。常见的web漏洞在移动APP中也存在，比如SQL注入，文件上传，中间件/server漏洞等，由于部分APP不是直接嵌入网页在APP中，而是使用api接口返回json数据，导致扫描器 阅读全文

摘要：工具 常用的元字符 常用的限定符 字符转义 字符类 阅读全文

摘要：项目背景 为了防止恶意者通过暴露在外的IP端口对桔子服务器进行攻击，从网络安全侧考虑，所有内外网服务器只能开放允许开放的端口，不允许开放的端口需要运维侧关闭。 处理流程图 1. 扫描 2. 页面展示 3. 告警 软件和环境介绍 服务器IP配置 通过界面可以进行ip地址配置，包括所有内外网IP。 用不 阅读全文

摘要：web安全漏洞场景分析 输入输出检验不充分 设计缺陷 环境缺陷 阅读全文