Y_main-CSDN博客

原创常见逻辑漏洞复现合集（下）

测试漏洞：越权访问漏洞（Insecure Direct Object References，IDOR）指的是应用程序在验证用户对资源或功能的访问权限时出现的漏洞。具体来说，这种漏洞允许攻击者直接访问应用程序中的对象（例如文件、数据库记录、URL等），而无需经过适当的身份验证或授权检查。越权漏洞一般又分为垂直越权漏洞和水平越权漏洞。本文中的漏洞为水平越权漏洞。水平越权是指攻击者通过利用系统或应用程序中的逻辑错误，以获取其他用户相同权限级别下的资源或执行操作的漏洞。

2024-06-18 14:20:54 538

原创最简单的安卓模拟器抓包？

前几天写过一次微信小程序如何抓包，现在来讲一下模拟器怎么抓包吧。首先使用的工具还是TangGo测试平台，之所以使用该工具是因为真的很方便，现在更新后支持夜神模拟器和MuMu模拟器

2024-05-29 14:58:30 817

原创 2024HW|常见红队使用工具

护网行动是国家公安部指导的一项旨在检测企事业单位的网络安全防护能力的活动。其实 HW 行动更像是网络安全红蓝对抗。通常来说网络安全训练分为红队和蓝队。红队代表攻击者，他们的任务是模拟恶意黑客或内部威胁，尝试入侵、渗透或绕过组织的网络安全措施。红队成员通常是经验丰富的安全专家，他们使用各种技术和方法来挑战组织的安全防御，以揭示潜在的漏洞和威胁。蓝队代表组织的网络防御团队，他们的任务是检测、响应和阻止红队的攻击。蓝队的工作类似于黑客，但是他们是经过授权和合法的。

2024-05-28 09:52:44 1252

原创国产抓包工具TangGo的安装说明

TangGo 这款工具是博主某次无意间交谈知道的，其实说起这个工具想必大家一定很陌生，但是其团队 PKAV 我想网安圈子的师傅们大家都多少有耳闻，尤其是其当年的 Pkav HTTP Fuzzer 在坐不少师傅应该都用过，那么这款软件也是由 PKAV 成立后的团队研发的，是一款为软件测试、网络安全从业人员提供强大的测试工具，其中 HTTP抓包测试工具是一款跨平台的功能强大的HTTP、Websocket数据拦截、修改、重放的测试工具，HTTP模糊测试工具(基础版)是一款高度可配置的自动化安全测试工具。

2024-05-27 16:51:57 426

原创某国企二面：如果不使用burp等国外抓包软件你会使用什么？

最近面试一家国企的安服工程师，问题不是很难，但是遇到一个很有意思的问题，大概就是面试官问，如果不能使用国外的一些抓包软件，比如 Burpsuite、Fiddler、Charles 、Wireshark等用什么软件，还要保证软件的功能性。

2024-05-14 16:29:42 793 1

原创现在用什么工具可以进行微信抓包？

随着网络安全的发展，越来越多的企业开始关注小程序，对小程序抓包进行测试似乎是一个不可或缺的部分。但是对于小程序的抓包，需要安装证书，繁杂的流程劝退了一大部分想学习的人员，今天给大家带来一种最简单的方法。

2024-05-09 17:32:44 485 1