摘要:
接口服务类安全测试 根据前期信息收集针对目标端口服务类探针后进行的安全测试,主要涉及攻击方法:口令安全,WEB类漏洞,版本漏洞等,其中产生的危害可大可小,属于端口服务/第三方服务类安全测试。一般在已知应用无思路的情况下选用的安全测试方案。 API接口 webservice RESful APT ht 阅读全文
摘要:
思路说明 反编译提取URL或者获取URL,进行WEB应用测试,如不存在或走其他协议的情况下,需采用网络接口抓包进行数据获取,转至其他协议进行安全测试。 APP-> WEB APP->其他 APP->逆向 WEB抓包,其他协议转包进行演示 未逆向层面进行抓包区分各协议测试 逆向层进行提取APK代码层面 阅读全文
摘要:
已知CMS 如常见的dedecms,discuz,wordpress等源码结构,这种一般采用非框架开发,但是也有少部分采用框架类开发,针对此类源码程序的安全监测, 我们要利用公开的漏洞进行测试,如不存在可采用白盒代码审计自行挖掘。 开发框架 如常见的thinkphp,spring,flask等开发的 阅读全文