0x24bin's Blog

从这一篇文章开始，我么就要开搞iOS相关的东西了，包括正向开发和逆向分析，因为不能仅仅局限于Android的世界，iOS的世界依然很美，同时我也是经常使用iPhone的，一直都想用上自己开发的插件，不过越来越觉得iOS不如Android好用了，本文主要介绍一下后续开搞的基本知识点。看看开发iOS需要知道哪些东西和需要准备哪些工具，具体和Android做比对。 一、应用开发和发布 关于应用发布已经账号开发，iOS和Andr...

Arachni是一个基于Ruby on Rails框架的Web安全漏洞扫描工具。 1. Ruby on Rails Ruby on Rails ，缩写ROR，是一个Web框架，包括两部分内容： Ruby 语言和 Rails 框架。Ruby一直以来流行于日本，直到2004年，26 岁的丹麦人 David Heinemeier Hansson 提出了Web框架 - Rails。这才让全世界人们，开始了解Ruby和Rails的灵活与高效。 1.1 Ruby 日本人松本行弘（ Matsumoto Yukihiro），在 1993 年开始着手...

前端安全 随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发展，不断引入 CSP、Same-Site Cookies 等新技术来增强安全性，但是仍存在很多潜在的威胁，这需要前端技术人员不断进行“...

0X00 前言 这个案例是某项目的漏洞，涉及敏感的地方将会打码。 很久没更新博客了，放一篇上来除除草，新的一年会有所转变，以后会有更多领域的研究。 下面是正文   0X01 正文 某厂商某个网站用的是thinkcmf 2.2.3。   thinkcmf 2.2.3系统是存在漏洞的，参考先知上喵呜师傅写的一篇文章（https://xz.aliyun.com/t/3529 )   文章中提到了三个漏洞，一个注入，两个模板注入写shell。   ...

目录 0x01 JWT工作流程 0x02 JWT的格式 0x03 攻击JWT 1. 敏感信息泄露 2. 修改算法为none 3. 修改算法RS256为HS256（非对称密码算法 => 对称密码算法） 4. HS256（对称加密）密钥破解 附: 相关工具 0x04 实例：2017 HITB Pasty 0x05 参考 0x01 JWT工作流程 JSON Web Token（JWT）是一个非常轻巧的规范。 这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 JWT常被用于前后端分离...

【 原创文章，转载请注明出处。 】 在电子取证过程中，也会遇到提取PC版微信数据的情况，看雪、52破解和CSDN等网上的PC版微信数据库破解文章实在是太简略了，大多数只有结果没有过程。经过反复试验终于成功解密了数据库，现在把详细过程记录下来，希望大家不要继续在已经解决的问题上过度浪费时间，以便更投入地研究尚未解决的问题。 通过查阅资料得知，与安卓手机版微信的7位密码不同，PC版微信的密码是32...

我在代码审计知识星球里提到了Apache最新的一个解析漏洞（CVE-2017-15715）： 除了帖子中说到的利用方法，我们还可以利用这个漏洞来绕过上传黑名单限制。 目标环境 比如，目标存在一个上传的逻辑： <?php if(isset($_FILES['file'])) { $name = basename($_POST['name']); $ext = pathinfo($name,PATHINFO_EXTENSION); if(in_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml', '...