0x24bin's Blog

1|0前言 前几篇介绍了Android的静态调试，这篇文章着重讲解一下使用IDA对Dalvik指令，so文件的调试，在Android越来越成熟的阶段，越来越多的app 本系列一共五篇： 《Smali基础语法总结》 《静态+动态分析Android程序（一）》 《JNI静态注册和动态注册》（二） 《使用IDA对so文件进行动态调试与过反调试（三）》 《hook与注入（四）》 《Android文件保护技术（五）》 2|0调试基础 2|1什么是so文件 Android...

0x00、业务需求 国内133家地方商业银行作为商业领域国外IT厂商和商家必争之地，无论是IT基础设施建设、容灾备份系统建设、还是信息安全建设等，各家银行都做的如火如荼，当然，目前只针对企业级市场，很少有银行愿意接受安全众测，原因很简单，测试过程不可控。 但是IT环境变化的加速度在不断的增快，面临目前严重的安全态势，希望银行也能接受众测这种商业模式，或者由众测小伙伴把自己的测试经验写成PoC...

虽说目前互联网上已经有很多关于 sql 注入的神器了，但是在这个 WAF 横行的时代，手工注入往往在一些真实环境中会显得尤为重要。本文主要把以前学过的知识做个总结，不会有详细的知识解读，类似于查询手册的形式，便于以后的复习与查阅，文中内容可能会存在错误，望师傅们斧正！ 0x01 Mysql 手工注入 1.1 联合注入 Copy ?id=1' order by 4--+ ?id=0' union select 1,2,3,database()--+ ?id=0' union sel...

在之前的一系列文章中，我们主要讲了内网渗透的一些知识，而在现实中，要进行内网渗透，一个很重要的前提便是：你得能进入内网啊！所以，从这篇文章开始，我们将开启Web渗透的学习（内网渗透系列还会继续长期更新哦）。 渗透测试，是渗透测试工程师完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标网络、主机、应用的安全作深入的探测，帮助企业挖掘出正常业务流程中的安全缺陷和漏洞，助力企业...

前言1：上次发了QQ邮箱self-xss的综合利用链，因为之前提交了TSRC，看了已经修复才把漏洞细节发出来的，然后被扣了安全币和积分。由于没认真看条款在这先道个歉。 前言2：随着移动应用的普及,二维码在我们的日常生活中显得越来越重要。其中二维码有一个功能用于移动端和PC端的交互认证。随着新事物的出现，新的漏洞也有可能随之出现。要想挖到新漏洞就得先弄清他的原理。 一、抓包分析 既然二维码认证是基...

前言 昨天忘了在公众号还是微博上看到的了，看到一个SSRF绕过的技巧，使用的是ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ绕过的，自己也没遇到过。然后想想自己对SSRF绕过还是停留在之前的了解，也没学习过新的绕过方法，所以特意找了找资料，学习学习最新黑科技，充充能。 0x00 SSRF是什么 能精简的就不扯淡，一句话就是：利用一个可以发起网络请求的服务当作跳板来攻击内部其他服务。 0x01 SSRF能干什么 探测内网信息 攻击内网或本...

Web应用程序防火墙（WAF）的主要作用是过滤，监控和阻止各类进出Web应用程序的HTTP流量。WAF区别于常规防火墙，因为WAF能够过滤特定Web应用程序的内容，而常规防火墙充当的则是服务器之间的安全门。通过检查HTTP流量，它可以防止源自Web应用安全漏洞的攻击，如SQL注入，XSS，文件包含和安全配置错误。 WAF是如何工作的？ 协议异常检测：拒绝不符合HTTP标准的请求 增强的输入验证：代理和服务器端验证，而...

1. 什么是前后端分离 从职责上区分： 负责交互与展示的部分为前端； 负责提供数据，处理业务的部分为后端。 核心思想是前端html页面通过ajax调用后端的restuful api接口并使用json数据进行交互。 2. 前后端分离架构的优势 1）提高工作效率，分工更加明确 前端只关注前端的事，后端只关心后端的活，两者开发可以同时进行。在后端还没有提供接口的时候，前端可以先通过Mock的方式模拟接口数据。页面的增加和...