Web安全
关注
分享
扫一扫
文章平均质量分 91
Web安全方面的学习
sam.li
这个作者很懒,什么都没留下…
展开
-
微信接口测试拓展
最近收到一个SRC提交的漏洞,泄露了微信小程序的appkey和appSecret;于是乎为了搞清楚影响,漏洞风险和利用方式,便有了这篇文章;在了解漏洞风险之前先来了解一下微信的几个平台;原创 2023-06-21 17:39:57 · 478 阅读 · 0 评论 -
常见高危端口及其利用方式
记录一下常见高危端口及其利用方式 21 ftp 22 SSH 23 Telnet 25 SMTP 53 DNS 69 TFTP 80 web 80-89 web ...原创 2020-05-21 19:54:27 · 9138 阅读 · 2 评论 -
Android平台WebView控件存在跨域访问高危漏洞
0x00手工自检:1. 检查应用是否使用了webview控件;如下图,WebView webview;定义了webview控件,即使用了webview控件。2. 若使用了webview控件,则检查内置webview的Activity是否可被导出;在上图中可以看到,内置webview的Activity是MainActivity,查看MainAcitivity是否可导,需要到AndroidM...原创 2020-04-08 20:49:52 · 1867 阅读 · 0 评论 -
CSRF 与 SSRF
CSRF漏洞简介CSRF(Cross-site request forgery,跨站请求伪造),是指利用受害者尚未失效的身份认证信息( cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直...原创 2020-03-12 14:44:37 · 772 阅读 · 0 评论 -
信息收集小技巧1
记录一个微服务信息收集小技巧:很多子域名打开为空白页面,或者找不到访问路径的,特别是app.xxx.com、wx.xxx.com一类,一般为微信公众号的服务,或者小程序的服务,可以到微信搜索一下关键字;微信小程序还有一个特别的地方可以看到相关域名;如图,打开对应小程序,按红圈标记的顺序点开,在更多资料处可以看到相关的域名,以及该微信小程序的appid;...原创 2020-03-12 14:27:07 · 368 阅读 · 0 评论 -
简单了解下JSONP
先来了解下同源策略;同源策略即:同一协议,同一域名,同一端口号。当其中一个不满足时,我们的请求即会发生跨域问题。举例:http://a.com:80 与 https://a.com:80 (域名、端口相同但协议不同)https://a.com:80 与 https://a.com:8080 (端口不同)https://a.com:80 与 https://b.com:80 ...原创 2020-03-12 14:36:47 · 251 阅读 · 0 评论 -
XSS小游戏的通关之路
1.开始<script>alert('a')</script><script>alert(1)</script><script>confirm("完成的不错!")</script> <script>prompt("完成的不错!")</script>2.注意闭合test...原创 2020-03-12 14:56:46 · 627 阅读 · 0 评论