WEB攻防-业务设计篇&隐私合规检测&资源拒绝服务&配合项目

WEB攻防-业务设计篇&隐私合规检测&资源拒绝服务&配合项目

知识点：

隐私合规-判断规则&检测项目

资源拒绝服务-加载受控&处理受控

一、演示案例-隐私合规-管理规定&检测分析&项目平台

对象：APP和小程序等

当APP、小程序在运行的时候，如果需要获取相关权限（例如位置、相册、通讯录等等），需要以弹窗的形式询问用户的意见，用户有权同意或者拒绝。如果不通知用户就非法获取这些权限，就属于违规

参考资料：

https://mp.weixin.qq.com/s/SfCIx0mNxn_PDfXP_5SfOQ

检测项目：

AppScan下载地址：https://github.com/TongchengOpenSource/AppScan

被测试手机必须开启root权限，设置ADB调试为‘开启本地连接’

手机连接该appscan程序

此工具是动态调试

就是一边在手机上操作APP，一边看工具上给到的结果，看APP上有没有针对性提示用户

在线检测平台：

参考文章：

https://mp.weixin.qq.com/s/SfCIx0mNxn_PDfXP_5SfOQ

二、演示案例-资源拒绝服务-加载受控&处理受控

1、验证码或土坯那显示自定义大小

图片可以自定义长宽值，可能造成拒绝服务

2、上传压缩包解压循环资源占用（压缩包炸弹）

简单来说就是这个压缩包是经过非常多次的压缩后生成的压缩包

这是一个存在解压拒绝服务的脚本如果这个42.zip攻击者可控，上传到服务器，在访问这个脚本，这个脚本就会尝试解压42.zip，而42.zip里就是无限套娃压缩包，就会一直解压