Android程序要运行就必须要签名，在发布一款Android app之前，需要使用/jdk/bin目录下的keytool和jarsigner两个工具来完成签名任务。其中，keytool用来生成证书（keystore），jarsigner用来进行签名。APK签名原理1、要点：a.所有的应用程序都必须有数字证书 ，Android系统不会安装一个没有数字证书的应用程序；b.A...

Less-1：基于错误的GET单引号字符型注入我们首先注入一个单引号’，出现SQL语法错误，多出一个单引号，后面闭合语句也是用的单引号：http://127.0.0.1/sqli_labs/Less-1/?id=1’再次注入一条SQL语句，因为条件永远为真，响应正常：http://127.0.0.1/sqli_labs/Less-1/?id=1' and '1'='...

注：本文转载自“绿盟科技博客”。原文链接：http://blog.nsfocus.net/data-leak-prevention-technology/需求背景在企业中提到数据保护，大家可能常常想起文档，很少有人会关注文档中的内容，对数据的管理也比较单一，通常就是全加密、全授权，对文档的重要性不做区分，随着社会的发展，文档的格式越来越多，安全事件的不断爆发，使得人们对数据的...

HTTP定义了一组请求方法，以表明要对给定资源执行的操作。指示针对给定资源要执行的期望动作。 虽然他们也可以是名词, 但这些请求方法有时被称为HTTP动词. 每一个请求方法都实现了不同的语义。其中，TRACE方法沿着到目标资源的路径执行一个消息环回测试。关于TRACE方法客户端发起一个请求时，这个请求可能要穿过防火墙、代理、网关或其他一些应用程序。每个中间节点都可能会修改原始的 ...

今天在对某运营商一个站点进行渗透测试，在查询功能处，查询的关键字存在SQL注入。抓取到的原始请求数据包如下图所示：对参数searchKeyWord测试发现，目标应用程序有WAF防护：过滤了单引号和双引号。在讲述后续注入之前，先简单介绍下何为multipart/form-data。它是一种常见的 POST 数据提交的方式，通常有两种参数提交方式：① applicat...