- 博客(7)
- 收藏
- 关注
转载 移动端https抓包那些事--进阶篇
上一次和大家介绍了手机端https抓包的初级篇,即在手机未root或者未越狱的情况下如何抓取https流量,但是当时分析应用时会发现,好多应用的https的流量还是无法抓取到,这是为什么呢?主要原因还是客户端在实现https请求时对于证书的校验上,如果仅仅校验是否有证书但是未严格校验证书的有效性时,就可以通过手机客户端安装抓包工具的证书来绕过签名校验,但是如果客户端做了严格的证书校验...
2017-08-09 23:02:00
454
转载 移动端https抓包那些事--初级篇
对于刚刚进入移动安全领域的安全研究人员或者安全爱好者,在对手机APP进行渗透测试的时候会发现一个很大的问题,就是无法抓取https的流量数据包,导致渗透测试无法继续进行下去。这次给大家介绍一些手机端如何抓取https流量的技巧。下面将主要通过两个层次篇章来逐步向大家进行介绍:第一篇章-初级篇:浅层次抓包。对于非root设备(Android)或非越狱设备(iOS)如何抓取...
2017-07-30 20:46:00
324
转载 安全学习资料网站(持续更新欢迎补充)
因本人主要从事移动端的安全研究,所以大部分学习资料均是与Android、iOS相关的学习资料,web类的资料相对较少,望见谅!百度移动安全实验室 http://wolfeye.baidu.com/blog/intent-scheme-url/ 移动应用常见的风险点,写的比较详细,并给出了相应的解决方案,缺点缺少真实...
2016-11-28 18:05:00
317
转载 drozer工具的安装与使用:之二使用篇
如果英文好的同学可以直接查看官方文档官方文档连接:https://labs.mwrinfosecurity.com/assets/BlogFiles/mwri-drozer-user-guide-2015-03-23.pdf按照drozer工具的安装与使用:之一安装篇中的操作在drozer安装目录下执行drozer console connect命令...
2016-06-18 16:32:00
433
转载 drozer工具的安装与使用:之一安装篇
本教程针对于Windows平台下drozer的安装与使用使用该工具需要JDK的支持,所以使用此工具之前请自行安装 JDK(如有问题的请自行百度其他教程,这里就不赘述了)还需要安卓调试工具adb的一些支持,请自行配置安装我用的是安卓开发工具中的adb,因为平时可能会开发一些APP来辅助测试附上链接:http://pan.baidu.com/s/1o8...
2016-06-18 16:09:00
363
转载 信息安全学习笔记--CSRF
一、CSRF简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one click attack”或者“session riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户...
2015-04-02 13:48:00
121
转载 信息安全学习笔记--XSS
一、XSS简介 XSS (Cross Site Scripting)是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的phishing攻击而变得广为人...
2015-03-31 15:16:00
183
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人