渗透测试
前行的学者
热爱生活,热爱创新!!
展开
-
APP安全测试小技巧
APP安全测试小技巧---证书校验绕过随着移动互联网的快速发展,很多业务已转移到移动端进行运营,随之而来的就是移动端的安全问题,在早期移动互联网刚刚兴起的时候,很多APP没有重视安全问题,故而没有进行一定的防护,换而言之就运行在手机端的web程序,所以早期安全测试很简单,也很容易发现问题(这里不讨论漏洞问题,只是介绍一个测试小技巧)。常用的web安全测试往往会借助Burpsuite这个神器...原创 2020-03-27 18:53:17 · 1895 阅读 · 0 评论 -
渗透测试环境的搭建(一)
工具有:PhpstudyphpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境·该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等·总之学习PHP只需一个包。下载工具可直接通过phpstudy的官网进行下载,地址htt...原创 2018-07-17 16:54:03 · 6969 阅读 · 1 评论 -
如何入门漏洞挖掘,以及提高自己的挖掘能力
0x01:前言 大家好我是米斯特团队的一员,我的id香瓜,我们团队在这次i春秋第二次漏洞挖掘大赛中,包揽了前五名,我key表哥一不小心拿了一个第一,导致很多人来加他好友问他,如何修炼漏洞挖掘能力,我今天帮大家解答一下这个疑问,哈哈哈。 漏洞挖掘是安全圈的一个核心之一,但是随着各大厂商安全意识的增强,以及各类waf的出现。一些像sql注入,文件上传,命令执行这些漏洞也不是那...转载 2018-07-17 16:57:52 · 31139 阅读 · 9 评论 -
越权漏洞简单分析
一、原理 越权漏洞是Web应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。二、分类主要分为水平越权和垂直越权,简单了解一下这两者的区别:水平越权:指攻击者尝试访问与他拥有相同权限的用户资源。例如有一...转载 2018-10-26 10:02:49 · 17341 阅读 · 3 评论 -
静态页面-渗透思路
在日常的测试中,经常会遇到静态页面,尤其是政府类的站点(前提经过授权),此时就会非常的棘手,在下多试验后,发现以下思路或可以帮助我们跨越这个障碍。判断该站点是否伪静态。伪静态即是网站本身是动态网页如.php、.asp、.aspx等格式动态网页有时这类动态网页还跟“?”加参数来读取数据库内不同资料。很典型的案例即是discuz论坛系统,后台就有一个设置伪静态功能,开启伪静态后,动态网页即被转换...原创 2019-01-21 15:45:00 · 9302 阅读 · 0 评论