随笔分类 - 安全测试
摘要:基于 Android APP APK解包与逆向 安全测试流程 客户端程序安全、敏感信息安全 1. 大纲 APK 解包与逆向 客户端程序安全 敏感信息安全 部分测试会用到 jdk Eclipse+ADT+Android SDK 这开发平台弄会比较麻烦 可能会放到后面讲 如果你只是想快速测试某 APP
阅读全文
摘要:1 移动APP安全风险分析 1.1 安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。 1.2 面临的主要风险 1.3 Android测试思维导图 1.4 反编译工具 有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,de
阅读全文
摘要:https://www.fujieace.com/metasploit/tutorials.html
阅读全文
摘要:下面给大家讲解一下如何在我们的物理机上安装Kali系统,废话不多说,下面直接开始: 一:准备材料 1) Universal_USB_Installe 系统镜像烧录工具 下载地址:https://universal-usb-installer.en.softonic.com/ 2) Kali系统 下载
阅读全文
摘要:最近为了学习XSS看了一个JS的教程,感觉自己对于XSS的理解更深刻了一些,所以想要写一写关于XSS的知识汇总。 那说道XSS的学习,CSRF怎能不谈,下面就来谈一谈CSRF。 那什么是CSRF? 百度百科上面的解释为:CSRF(Cross-site request forgery跨站请求伪造,也被
阅读全文
摘要:参考: 一个人的武林:渗透测试的常规思路分析 渗透测试的8个步骤 安全论坛:I春秋 知乎论坛:新手学习渗透测试常规思路 一个人企业安全建设之路
阅读全文
摘要:对于程序猿来说,百度就是一个坑的存在,找一个问题,前面几页都是抄袭、雷同的问题,还有若干的百度经验,但是,对于近期的墙是越来越厚了,各种ss账号都失效了,无奈开始自己动手搭梯子吧。通过网上各种对比后,最后选了了 Vultr , 安装Google BBR后基本可以满速FQ,而且,最强大的是,可以更换I
阅读全文
摘要:网上搜集了一些App安全学习教程及工具,项目地址:https://github.com/Brucetg/App_Security 一. drozer简介 drozer(以前称为Mercury)是一款Android安全测试框架。 drozer允许您通过承担应用程序的角色并与Dalvik VM,其他应用
阅读全文
摘要:1 移动APP安全风险分析 1.1 安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。 1.2 面临的主要风险 1.3 Android测试思维导图 1.4 反编译工具 有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,de
阅读全文
摘要:本帖最后由 L岚 于 2018-9-2 07:37 编辑1.php编程 1.讲师介绍+http协议+挖掘BUG.mp4 2.搭建apache+php+mysql.mp4 3.搭建域名.mp4 4.PHP变量+变量的引用.mp4 5.数据类型+字符串函数+常量+运算符+if判断+switch+whil
阅读全文
摘要:本帖最后由 L岚 于 2018-9-2 07:37 编辑1.php编程 1.讲师介绍+http协议+挖掘BUG.mp4 2.搭建apache+php+mysql.mp4 3.搭建域名.mp4 4.PHP变量+变量的引用.mp4 5.数据类型+字符串函数+常量+运算符+if判断+switch+whil
阅读全文
摘要:1.sqlmap的get注入 假设目标是 https://www.baidu.com/news.php?id=1&data=2 sqlmap语句 列库 sqlmap.py -u "https://www.baidu.com/news.php?id=1&data=2" --dbs //假设结果显示库有
阅读全文
摘要:最近换工作进入到外包公司,驻点到银行进行集成测试工作,为了让自己更熟悉金融行业,特别是银行业相关业务,以及总结自己测试的一些经验,希望将自己了解和学习的内容记录下来。主要从以下几个方面学习: 一、银行的一般内部架构 二、银行相关的业务系统 三、银行应用系统架构 四、银行信息系统架构 五、软件测试相关
阅读全文
摘要:1. 安装wireshark Ubuntu 14.04.3 缺省安装后, 不包含Wireshark抓包软件,因此首先需要手工进行Wireshark的安装: apt-get update apt-get install wireshark apt-get update apt-get install
阅读全文
摘要:自己完成了wireshark开发环境的搭建,主要参考资料是wireshark的官方developer-guide.pdf,网址:https://www.wireshark.org/docs/。 现把搭建过程中的主要步骤总结如下: 1、系统环境 win7x64 SP1 Microsoft Visual
阅读全文
摘要:一、 文件上传漏洞与WebShell的关系 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,部分文件上传漏洞的利用技术门槛非常的低,对于攻击者来说很容易实施。 文件上传漏洞本身就是一个危害
阅读全文
摘要:本文主要介绍针对PHP网站文件上传漏洞。由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过 Web 访问的目录上传任意PHP文件,并能够将这些文件传递给 PHP解释器,就可以在远程服务器上执行任意PHP脚本,即文件上传漏洞。 一套web应用程序,一般都会提
阅读全文
摘要:安全研究人员今天发布了一个中危漏洞——PHP任意文件上传漏洞(CVE-2015-2348)。 在上传文件的时候只判断文件名是合法的文件名就断定这个文件不是恶意文件,这确实会导致其他安全问题。并且在这种情况下,在你自己的文件中检查漏洞很不现实,因为这个漏洞可以绕过你对文件名后缀、文件类型(Conten
阅读全文
摘要:防止SQL注入 Admin-- ‘or -- ‘ and ( ) exec insert * % chr mid and 1=1 ; And 1=1 ; aNd 1=1 ; char(97)char(110)char(100) char(49)char(61)char(49) ; %20A
阅读全文
摘要:基本工具: kali-linux-2018.2-amd64 原版镜像:https://www.kali.org/downloadsWin32DiskImager yunfile 下载较慢,建议自行百度GHOST 3.11.5 yunfileFbinstTool yunfile老毛桃UEFI版 百度
阅读全文
