1ndex

摘要： 水了好长一段时间了,是时候静下心来好好学习了。前段时间经历了人生中第一次面试，做做总结，查漏补缺。 面试问题 top 10 CSRF 修复方式 get 类型 填加 token 或者验证码，因为单纯验证 referer 极易被绕过(如将链接留在评论留言处) post 类型 验证 referer 可有效 阅读全文

摘要： 参考文章 一篇文章带你理解漏洞之 Python 反序列化漏洞 Python Pickle/CPickle 反序列化漏洞 Python反序列化安全问题 pickle反序列化初探 前言 上面看完，请忽略下面的内容 Python 中有很多能进行序列化的模块，比如 Json、pickle/cPickle、S 阅读全文

摘要： 参考文章 安卓漏洞学习 测试 app：diva 漏洞点 不安全的日志输出 主要是由于 app 代码中将敏感信息输出到 app 的 logcat 中 使用 adb 工具查看安卓日志：adb logcat 硬编码 开发人员将密码/密钥等敏感字符字节写在源代码中 不安全的存储 将敏感数据保存到配置文件xm 阅读全文

摘要： 参考文章 portswigger. 开发“属于你自己”的Burp Suite插件 碰到的问题 环境问题 教程一大把，下载 jython，然后 BURP 内选择该环境即可 抄一篇文章上的示例代码，测试测试，看能不能跑通 好家伙，直接来一个报错，ImportError: cannot import na 阅读全文

摘要： 参考文章 Android 安全测试框架 Drozer-使用篇 Android四大组件 Android暴露组件——被忽略的组件安全 APP下载 Sieve FourGoats 前提知识 AndroidManifest.xml AndroidManifest.xml 文件是整个应用程序的信息描述文件，包 阅读全文

摘要： 搞什么内网啊，Android 多有趣！ 大师傅文章 drozer工具的安装与使用：之一安装篇 Android安全测试框架Drozer（安装篇） adb 安装使用 所需环境/工具及官方下载地址(Windows) Python2.7 安卓模拟器 Dorzer 电脑端 Dorzer 安卓端 adb(And 阅读全文

摘要： 【下文中的图片显示不全，点击可看全图】 工具 node.js wxappUnpacker 安卓模拟器-夜神 步骤 下载安装 node.js，添加到环境变量(好像安装的时候默认添加到环境变量) cmd 里输入 node -v 出现版本号即表示安装成功 下载夜神模拟器，并安装微信、RE文件管理器(系统自 阅读全文

摘要： 参考文章 PHP中的变量覆盖漏洞 简介 变量覆盖 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有：开启了全局变量注册、$$ 使用不当、extract() 函数使用不当、parse_str() 函数使用不当、import_request_variables() 使用不当 阅读全文

摘要： 前言 求求了，给我一个低危吧！ Content 看到下面一个请求包，发个验证码附带了这么多的参数，那么肯定是有些问题滴！！ 一般比较典型的短信轰炸漏洞，要么是未作任何限制，要么是添加 +、空格等可以绕过 最近在测试的时候，发现了一点新东西，利用请求中的其他参数也可以造成短信轰炸漏洞，比如说： 场景 阅读全文

摘要： 参考文章 快速定位前端加密方法 渗透测试-前端加密测试 前言 最近学习挖洞以来，碰到数据做了加密基本上也就放弃了。但是发现越来越多的网站都开始做前端加密了，不论是金融行业还是其他。所以趁此机会来捣鼓一下。 从上图可以看到，网站在前端对我的账号密码做了加密处理。前端加密的好处在于防止数据被劫持后直接泄 阅读全文