摘要:
因本人主要从事移动端的安全研究,所以大部分学习资料均是与Android、iOS相关的学习资料,web类的资料相对较少,望见谅! 百度移动安全实验室 因本人主要从事移动端的安全研究,所以大部分学习资料均是与Android、iOS相关的学习资料,web类的资料相对较少,望见谅! 百度移动安全实验室 ht 阅读全文
摘要:
上一次和大家介绍了手机端https抓包的初级篇,即在手机未root或者未越狱的情况下如何抓取https流量,但是当时分析应用时会发现,好多应用的https的流量还是无法抓取到,这是为什么呢? 主要原因还是客户端在实现https请求时对于证书的校验上,如果仅仅校验是否有证书但是未严格校验证书的有效性时 阅读全文
摘要:
对于刚刚进入移动安全领域的安全研究人员或者安全爱好者,在对手机APP进行渗透测试的时候会发现一个很大的问题,就是无法抓取https的流量数据包,导致渗透测试无法继续进行下去。 这次给大家介绍一些手机端如何抓取https流量的技巧。 下面将主要通过两个层次篇章来逐步向大家进行介绍: 第一篇章-初级篇: 阅读全文
摘要:
如果英文好的同学可以直接查看官方文档 官方文档连接:https://labs.mwrinfosecurity.com/assets/BlogFiles/mwri-drozer-user-guide-2015-03-23.pdf 按照 drozer工具的安装与使用:之一安装篇 中的操作在drozer安 阅读全文
摘要:
本教程针对于Windows平台下drozer的安装与使用 使用该工具需要JDK的支持,所以使用此工具之前请自行安装 JDK(如有问题的请自行百度其他教程,这里就不赘述了) 还需要安卓调试工具adb的一些支持,请自行配置安装 我用的是安卓开发工具中的adb,因为平时可能会开发一些APP来辅助测试 附上 阅读全文
摘要:
一、CSRF简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one click attack”或者“session riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式 阅读全文
摘要:
一、XSS简介 XSS (Cross Site Scripting)是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin poli 阅读全文