1|0前言
前几篇介绍了Android的静态调试,这篇文章着重讲解一下使用IDA对Dalvik指令,so文件的调试,在Android越来越成熟的阶段,越来越多的app
本系列一共五篇:
《Smali基础语法总结》
《静态+动态分析Android程序(一)》
《JNI静态注册和动态注册》(二)
《使用IDA对so文件进行动态调试与过反调试(三)》
《hook与注入(四)》
《Android文件保护技术(五)》
2|0调试基础
2|1什么是so文件
Android...
地方商业银行APP安全性分析
0x00、业务需求
国内133家地方商业银行作为商业领域国外IT厂商和商家必争之地,无论是IT基础设施建设、容灾备份系统建设、还是信息安全建设等,各家银行都做的如火如荼,当然,目前只针对企业级市场,很少有银行愿意接受安全众测,原因很简单,测试过程不可控。
但是IT环境变化的加速度在不断的增快,面临目前严重的安全态势,希望银行也能接受众测这种商业模式,或者由众测小伙伴把自己的测试经验写成PoC...
[总结]SQL手工注入总结
虽说目前互联网上已经有很多关于 sql 注入的神器了,但是在这个 WAF 横行的时代,手工注入往往在一些真实环境中会显得尤为重要。本文主要把以前学过的知识做个总结,不会有详细的知识解读,类似于查询手册的形式,便于以后的复习与查阅,文中内容可能会存在错误,望师傅们斧正!
0x01 Mysql 手工注入
1.1 联合注入
Copy
?id=1' order by 4--+
?id=0' union select 1,2,3,database()--+
?id=0' union sel...
密码保护:思路决定成败:F12给了我黑色的眼睛我却用它来挖洞
*文章原创作者:evil7,本文属于FreeBuf原创奖励计划,未经许可禁止转载
大家好,我又来混稿费了。
为了在脱贫致富关键的2020年前,正确地贯彻落实互惠双赢政策和以先富带后富的重要指示精神。
坐山吃山指哪儿打哪儿,今天就来说说F12除了挂自慰黑页,如何帮助你完成手工审计吧。(小和尚Maniac&最近在问相关问题,所以文中一道写来提供基础学习,文章篇幅将着重解释)
“打开这个页面的时候,我就知道...
Web渗透测试:信息收集篇
在之前的一系列文章中,我们主要讲了内网渗透的一些知识,而在现实中,要进行内网渗透,一个很重要的前提便是:你得能进入内网啊!所以,从这篇文章开始,我们将开启Web渗透的学习(内网渗透系列还会继续长期更新哦)。
渗透测试,是渗透测试工程师完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标网络、主机、应用的安全作深入的探测,帮助企业挖掘出正常业务流程中的安全缺陷和漏洞,助力企业...
QQ二维码登陆机制分析+双重SSRF钓鱼利用
前言1:上次发了QQ邮箱self-xss的综合利用链,因为之前提交了TSRC,看了已经修复才把漏洞细节发出来的,然后被扣了安全币和积分。由于没认真看条款在这先道个歉。
前言2:随着移动应用的普及,二维码在我们的日常生活中显得越来越重要。其中二维码有一个功能用于移动端和PC端的交互认证。随着新事物的出现,新的漏洞也有可能随之出现。要想挖到新漏洞就得先弄清他的原理。
一、抓包分析
既然二维码认证是基...
SSRF绕过方法总结
前言
昨天忘了在公众号还是微博上看到的了,看到一个SSRF绕过的技巧,使用的是ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ绕过的,自己也没遇到过。然后想想自己对SSRF绕过还是停留在之前的了解,也没学习过新的绕过方法,所以特意找了找资料,学习学习最新黑科技,充充能。
0x00 SSRF是什么
能精简的就不扯淡,一句话就是:利用一个可以发起网络请求的服务当作跳板来攻击内部其他服务。
0x01 SSRF能干什么
探测内网信息
攻击内网或本...
SQL注入:9种绕过Web应用程序防火墙的方式
Web应用程序防火墙(WAF)的主要作用是过滤,监控和阻止各类进出Web应用程序的HTTP流量。WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙充当的则是服务器之间的安全门。通过检查HTTP流量,它可以防止源自Web应用安全漏洞的攻击,如SQL注入,XSS,文件包含和安全配置错误。
WAF是如何工作的?
协议异常检测:拒绝不符合HTTP标准的请求
增强的输入验证:代理和服务器端验证,而...
挖洞思路:账号攻击的几种常见手法
web 安全事件中,账号,通常是呈现给攻击者的第一接触点,与账号相关的功能若存在缺陷,攻击者可以此获取关键信息和重要功能,如,登录失败的报错信息可判断出是否因账号不存在所致,可被利用枚举有效账号,比如,登录试错无次数限制,可导致暴破密码,又如,注册流程各步骤未严格关联,导致批量注册任意账号,再如,密码找回功能各步骤未严格关联,导致任意账号密码重置。
我在日常渗透时遇到个同时存在这...
前后端分离开发风险浅析
1. 什么是前后端分离
从职责上区分:
负责交互与展示的部分为前端;
负责提供数据,处理业务的部分为后端。
核心思想是前端html页面通过ajax调用后端的restuful api接口并使用json数据进行交互。
2. 前后端分离架构的优势
1)提高工作效率,分工更加明确
前端只关注前端的事,后端只关心后端的活,两者开发可以同时进行。在后端还没有提供接口的时候,前端可以先通过Mock的方式模拟接口数据。页面的增加和...