- 博客(4)
- 收藏
- 关注
RSS订阅原创 app应用漏洞的简单发现
32.APP应用之漏洞探针32.1原理分析其实这里所谓的app就只是web的套壳。步骤,先下载任意一个模拟器,然后在这个模拟器里面安装好非法的软件,在设置的wifi处修改好代理的地址和端口,就可以实现在电脑端抓取手机端的数据包了。这里总共介绍了三款软件进行抓包,其实步骤都是差不多的,都是在打开了软件之后随意点击之后,查看数据包---burpsuite:使用麻烦,可视性差,可拓展性强---charles:抓取的web层次清晰,---抓包精灵(APK,直接放到模拟器里面使用):简单,不易
2022-05-07 19:37:12
1166
原创 JWT安全&预编译CASE注入
28.1大纲 Javaweb-SQL 注入攻击-预编译机制绕过28.1.1预编译机制与case when ---防御 sql 注入:1.session2.参数绑定存储过程#利用 session 防御---session 内容正常情况下是用户无法修改的---...
2022-05-01 15:40:33
576
原创 csrf,ssrf,rce,文件包含漏洞,文件上传漏洞
21 CSRF与SSRF漏洞 21.1课程大纲 参考链接: 【小迪安全】Day29web漏洞-CSRF及SSRF漏洞案例讲解-哔哩哔哩(bilibili.com)正在上传…重新上传取消参考①:cnblogs.com/dogecheng/p/11583412.thml 21.2CSRF...
2022-04-21 19:13:11
3449
原创 xssWAF绕过与修复
20 xssWAF绕过与修复20.1课程大纲参考链接: 【小迪安全】Day28web漏洞-XSS跨站之WAF绕过及修复 - 哔哩哔哩 (bilibili.com)20.2课程截图20.2.1.在标签前面加入/代表便签结束可以绕过安全狗(但是有时候会因为会使得标签失效)20.2.2.xssfuzzer.com可以生成有关xss漏洞的js代码字典或者也可以使用fuzzdb这个工具生成字典再通过Burp配合进行xss绕过20.2.3.使用post提交进行绕过首先在源代码中变量的提交方式必须
2022-04-17 19:36:27
13349
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人