- 博客(4)
- 收藏
- 关注
RSS订阅原创 app应用漏洞的简单发现
32.APP应用之漏洞探针 32.1原理分析 其实这里所谓的app就只是web的套壳。 步骤,先下载任意一个模拟器,然后在这个模拟器里面安装好非法的软件,在设置的wifi处修改好代理的地址和端口,就可以实现在电脑端抓取手机端的数据包了。这里总共介绍了三款软件进行抓包,其实步骤都是差不多的,都是在打开了软件之后随意点击之后,查看数据包 ---burpsuite:使用麻烦,可视性差,可拓展性强 ---charles:抓取的web层次清晰, ---抓包精灵(APK,直接放到模拟器里面使用):简单,不易
2022-05-07 19:37:12
1241
原创 JWT安全&预编译CASE注入
28.1大纲 Javaweb-SQL 注入攻击-预编译机制绕过 28.1.1预编译机制与case when ---防御 sql 注入:1.session2.参数绑定存储过程 #利用 session 防御 ---session 内容正常情况下是用户无法修改的 ---...
2022-05-01 15:40:33
645
原创 csrf,ssrf,rce,文件包含漏洞,文件上传漏洞
21 CSRF与SSRF漏洞 21.1课程大纲 参考链接: 【小迪安全】Day29web漏洞-CSRF及SSRF漏洞案例讲解-哔哩哔哩(bilibili.com) 正在上传…重新上传取消 参考①:cnblogs.com/dogecheng/p/11583412.thml 21.2CSRF...
2022-04-21 19:13:11
3551
原创 xssWAF绕过与修复
20 xssWAF绕过与修复 20.1课程大纲 参考链接: 【小迪安全】Day28web漏洞-XSS跨站之WAF绕过及修复 - 哔哩哔哩 (bilibili.com) 20.2课程截图 20.2.1.在标签前面加入/代表便签结束可以绕过安全狗 (但是有时候会因为会使得标签失效) 20.2.2.xssfuzzer.com可以生成有关xss漏洞的js代码字典 或者也可以使用fuzzdb这个工具生成字典再通过Burp配合进行xss绕过 20.2.3.使用post提交进行绕过 首先在源代码中变量的提交方式必须
2022-04-17 19:36:27
14193
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人