煜铭2011

0x00 背景 当使用burp进行拦截HTTPS流量时，往往需要在浏览器导入证书，对于刚刚接触burp的同学来说，查看官方文档是最好的帮助。仅以此文作为案例。 当导入的证书有问题的时候，会发现出现各种错误，例如浏览器出现HSTS错误、无法捕获到HTTPS流量等异常问题。0x01 导入burp证书 默认情况下，当您通过Burp浏览HTTPS网站时，代理会为每个主机生成...

0x00前言 伴随着移动互联网的高速发展，移动应用APP的安全问题也走进了人们的视角，在企业安全建设过中，往往需要对企业移动应用APP进行一个安全风险评估，从而了解总体的安全情况，以下我们将简要介绍以下的几个APP安全在线检测平台0x01 在线检测平台爱家密 http://www.ijiami.cn/apply/Detect 免费 注册登录 无限制...

0x01 Client Side - Static and Dynamic analysisTest NameDescriptionToolOWASPApplicable PlatformResultReverse Engineering the Application CodeDisassembling and Decompiling

0x00 前言  Drozer是MWR Labs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一。其官方文档说道：“Drozer允许你一一个普通android应用的身份与其他应用和操作系统交互。”在Web世界已经有了许多安全测试工具了，我们只需要给出一个目标，这些工具就会自动为我们安全测试报告。但Drozer与这样的自动化扫描器不同，Drozer是一种交互式的安

目录简述（脱壳前学习的知识、壳的历史、脱壳方法）第一代壳第二代壳第三代壳第N代壳简述Apk文件结构Dex文件结构壳史壳的识别Apk文件结构Dex文件结构壳史第一代壳 Dex加密Dex字符串加密资源加密对抗反编译反调试自定义DexClassLoader第二代壳 Dex抽取与So加固对抗第一代壳常见

0x00 前言 zANTI是一款Android平台下的渗透测试工具，支持嗅探已连接的网络、支持中间人攻击测试、端口扫描、Cookie获取及路由安全测试等操作。该工具是由以色列移动安全公司Zimperium开发的。此外，它能够支持一系列的网络任务：MAC变更、zther（对欺骗的手机端实现了记录请求、记录图像、zpacketEditor、SSL strip、重新导向HTTP、替...

0x00前言 我们都知道在当下互联网时代，手机移动端的普及已经是非常普遍的事情了，同时APP风险漏洞也逐渐暴露出来。所谓的风险漏洞一般来说是应用代码编写过程中出现的安全漏洞、编码隐患、甚至业务逻辑上的缺陷。APP风险漏洞往往带来很多危害，诸如成应用内信息泄露、远程代码执行、本地拒绝服务等多种安全问题，严重的可能影响应用正常运行，更为严重的是导致手机系统的权限沦陷，手机被控制...

0x00 前言         伴随着移动互联网的高速发展，手机端走进普通大众的日常生活，这里我们将基于android系统介绍一些基本android渗透测试必备的使用工具。这些工具更多的是安装在android客户端。至于PC端，在后面会陆续介绍。这里建议先把手机root了，获得root权限。至于怎样root，每个品牌每个型号的手机各不同，可以自行百度或者参考你手机的官网。0x01 系统管理

0x00 前言 我们都知道在电脑端，浏览器设置设置本地代理（127.0.0.1:8111）这种方式，burpsuite可以捕获到所有HTTP的流量，这种方式很方便我们对网站进行渗透测试。其中进行爬取网站目录结构和进行主动扫描发现漏洞，以及改动数据包进行重放攻击等等安全测试。而本文的重点是教会大家如何捕获手机端的流量，尤其是手机端的HTTP流量，这对于我们分析手机端的各种应用程...