- 博客(4)
- 资源 (6)
- 收藏
- 关注
原创 mtopsdk(淘宝系android app使用的sdk)强迫请求通过代理进行抓包
背景android app抓包,会出现http包不走fiddler等代理的情况,譬如淘宝系、支付宝系appetao app使用mtopsdk(https://help.aliyun.com/document_detail/69785.html),https://acs.m.taobao.com/下的请求都抓不到本文分析了com.taobao.etao,最终可以通过fiddler、bur...
2019-05-22 19:05:26 22977 12
原创 数据隐写到图片中
背景jpg图片文件开头标志为SOI,结束标志为EOI,直接将数据添加文件结尾即可(不影响图片的正常显示)使用copy /b img.jpg + data.data result.jpg 或者cat data.data >> img.jpg 即可python脚本png图片整个为分块结构,其中有四块是必须的 PNG files start with an 8 b...
2019-05-07 10:03:55 1200 2
原创 扫描二维码登录
危害:任何使用扫描二维码登录功能的网站,均存在用户钓鱼风险;提供三方网站联登功能的,风险更大攻击者使用各种手段获取登录二维码及相关参数,将二维码展示给用户,用户扫描、登录后,攻击者拿到会话tokendemo代码:https://github.com/zzzzfeng/qrcode_login一、扫描二维码登录流程1、浏览器从服务器取得二维码,并附带当前二维码标识A(比如md5...
2019-05-07 09:56:50 3062
原创 referer检测&url跳转
一、检测referer的场景》缓解CSRF攻击若referer为空,或referer不属于自身域及子域,则拒绝后续操作(更改密码、更改昵称)》加固以jsonp方式获取信息譬如,链接https://passport.jd.com/loginservice.aspx?callback=jQuery8483115&method=UserInfo&_=152291428...
2019-05-07 09:32:10 6081
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人