摘要: 根据过往Electron框架应用的安全测试心得整理,从Dom-XSS到RCE 阅读全文
posted @ 2022-04-12 17:12 广陌道人 阅读(465) 评论(0) 推荐(0) 编辑
摘要: 网站用的是https抓包是明文传输,为什么能看到https报文的明文?https其实就是 http + SSL/TLS 两种协议的合体。http协议是应用层协议,而SSL/TLS是传输层协议。 阅读全文
posted @ 2022-02-13 23:24 广陌道人 阅读(208) 评论(0) 推荐(0) 编辑
摘要: 背景概述 Spring的生态很优秀,而使用Spring Boot的开发者也比较多。 Actuator是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。在 阅读全文
posted @ 2022-02-13 22:18 广陌道人 阅读(1479) 评论(0) 推荐(0) 编辑
摘要: Android7及以上版本,系统更改了信任用户安装证书的默认行为,默认不信任用户证书,这会导致我们手动生成的BurpSuite证书,已不能拦截App的请求,所以需要自定义BurpSuite证书为安卓系统级CA证书,以方便抓取HTTPS包 阅读全文
posted @ 2021-11-17 11:00 广陌道人 阅读(543) 评论(0) 推荐(0) 编辑
摘要: 利用Burp+Xray,配置多层代理,提高挖洞效率 阅读全文
posted @ 2021-10-27 22:03 广陌道人 阅读(321) 评论(0) 推荐(0) 编辑
摘要: ch4inrulz是vulnhub下的基于Linux的一个靶场,此次作为练习之用,记录下过程,文章是后写的,所以没截图 阅读全文
posted @ 2021-09-05 22:29 广陌道人 阅读(414) 评论(0) 推荐(0) 编辑
摘要: 解决BurpSuite安装后,无法在Render(重发器)模块下看到页面预览,提示embedded browser initialisation failed(嵌入式浏览器初始化失败) 阅读全文
posted @ 2021-07-03 14:15 广陌道人 阅读(1662) 评论(0) 推荐(0) 编辑
摘要: Linux中文件权限和目录权限的区别 阅读全文
posted @ 2021-05-31 20:23 广陌道人 阅读(344) 评论(1) 推荐(0) 编辑