![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
网络安全学习笔记
naxiaorongshixiatian
这个作者很懒,什么都没留下…
展开
-
android移动安全
听了一个移动安全的分享会,暂时就把笔记记到这里吧。简单的描述下自己对android移动安全的理解在对android做渗透测试时,首先要脱壳,脱壳之后才能进行后续操作。android一般有自己壳,这个壳有免费的有收费的。我们首先需要先把dex变为jar脱壳,然后利用jd-gui读取jar里的java源码。可以读取jar里的java源码后针对客户端做一些代码审计、挖掘漏洞(敏感信息)等。针对服务端,可以利用hook(xpose、frida)工具勾住检测到你hook工具的代码,然后利用hook修改原创 2022-05-18 11:46:30 · 172 阅读 · 0 评论 -
alexa前100万个域名下载
最近在尝试做DGA域名检测但网上的好多alexa网站前100万的数据都不是特别全 不是50多万 就是60多万在此补充一个有完整100万数据的下载链接(原博的链接找不到了,就先放自己的吧。。)链接:https://github.com/xiatiandemao/master...原创 2022-05-17 20:32:08 · 380 阅读 · 0 评论 -
【docker简单理解】
由于要写dockerfile的漏洞插件,但是我又对docker不是很了解,所以在此就补上我目前对docker镜像的大致理解吧。1.docker镜像的base镜像在新建docker镜像时 需要依赖一个base镜像,base镜像一般是linux发行版的官方镜像,可以直接从官方网站上pull下来。网址:https://hub.docker.com/docker镜像一般很小,这主要是由于linux操作系统主要是由内核空间kernel和用户空间rootfs两部分构成,而docker镜像一般用宿主机上的内核空原创 2022-05-17 20:23:53 · 54 阅读 · 0 评论 -
信息泄露(二)Dockerfile文件信息泄露
Dockerfile文件信息泄露Dockerfile文件介绍Dockerfile文件是用于构建docker镜像的文件。docker通过Dockerfile中的指令自动生成镜像。可利用docker build命令自动生成。其主要包括四个部分:基础镜像信息、维护者信息、镜像操作指令及容器启动时执行指令基础镜像信息:FROM :指定基础镜像(容器),必须为第一条命令MAINTAINE: 维护者信息(可选)RUN: 用于镜像容器的执行命令CMD:容器启动后执行指令。配置好Dockerfile之后,原创 2022-05-17 20:16:38 · 457 阅读 · 0 评论 -
【信息泄露(一):物理路径泄露】
信息泄漏–物理路径泄露访问某网址时在其后面随意加了一个参数。1.如果参数错误,返回内容什么都没有,只告诉你出错 ,则说明无信息可利用。2.如果参数错误,返回内容有物理路径,则攻击者可以利用该物理路径攻击服务器对于物理路径泄漏问题,可能由以下几个原因导致:1.开发者未关闭debug模式,导致参数错误时进入debug调试模式,将敏感信息泄露2.开发者未考虑参数错误问题,导致参数错误时进入未知界面(未知界面包含物理路径敏感信息)有以下几个修复方案:1.将debug模式关闭2.对于参数错误问题,定原创 2022-05-17 20:15:19 · 1006 阅读 · 0 评论 -
越权漏洞基础解释
越权漏洞由开发人员在对数据进行增删改查时过于相信客户端请求的数据而遗漏的对权限的判定而产生。其可以分为两种:水平越权和垂直越权水平越权:是指权限相同级别的用户之间可以进行越权访问修改或删除的操作。出现该漏洞,可能会造成大批量数据泄露,甚至可能会导致用户信息被恶意篡改。例如甲和乙是权限相同级别的用户。甲作为一个对象,和用户信息,订单,密码等其他对象关联乙作为一个对象,和用户信息,订单,密码等其他对象关联当我们用甲的信息登录系统时,可以得到甲的用户信息,订单及其密码等信息及请求这些对象的ID。由原创 2022-05-12 11:57:40 · 129 阅读 · 0 评论 -
网络安全-学习笔记(一)
关于偷数据的学习路径:文件读取:(XXE, SSRF漏洞)业务权限获取业务账号原创 2020-12-10 19:29:43 · 266 阅读 · 2 评论