接上一篇文章微信小程序渗透测试tips,今天给朋友们写一个案例,是某大学的小程序,通过抓包构造报文发现敏感的经典案例。
抓包发现特殊的response
在对小程序的每个功能进行抓包的时候,发现在点击访客系统的时候,response包中的code字段跟着时间和userid等不该出现在response包的字符。
点击我是访客并抓包
将response中的("code":"10000&qu……继续阅读 »
Bains
2年前 (2022-12-23) 319浏览 0评论
1个赞
前言
网络安全架构图是按照现有网络安全需求整理,通过多个维度展现。本文章主要介绍网络安全架构中的系统层安全,其他维度的详细介绍后期会持续更新,敬请关注微信公众号浪飒sec
系统层安全概述
系统层即为主机操作系统,是计算机技术最为基础和核心的软件系统,常见的操作系统有Windows、linux、macOS。
系统层安全是指操作系统的安全性,包含终端设备、网络设备(如交换机、路由器)、安全设备(如防火墙、ID……继续阅读 »
zhh
2年前 (2022-12-22) 296浏览 0评论
3个赞
微信小程序渗透思路
现在小程序的数量开始爆发式增长,其特有的安全风险也逐渐凸显出来,很多小伙伴在对小程序进行安全测试的时候会无从下手,今天就总结一下微信小程序的渗透思路。
我们在对网站进行渗透测试的时候,通常会从查看源码和浏览功能进行抓包两个方面去发现漏洞,微信小程序其实也一样,只是查看源码和抓包的方式有些不同。
查看微信小程序的源码
查看微信小程序的源码主要是获取.wxapkg包。
工具准备:
安装手机模拟器,推……继续阅读 »
Bains
2年前 (2022-12-21) 309浏览 0评论
1个赞
获取
关注浪飒sec回复221220获取快速下载地址
介绍
特色
查看并分析App使用的第三方库的应用。
LibChecker提供了一些基本的功能,包括App的ABI架构查看和统计(32位/64位)、原生库的查看、四大组件的查看(服务、活动、广播接收器、内容提供器)。
功能
-知名库标记:对于一些知名的第三方库组件, LibChecker 会显示标记,并且可以查看详细的介绍。
-库引用统计:统计各个库的使用频率
……继续阅读 »
langsa
2年前 (2022-12-20) 273浏览 0评论
1个赞
注:本文纯属虚构,如有雷同,纯属巧合,希望对HVV总结有帮助
摘要
2018年5月18日,由中国电子信息产业发展研究院主办、浙江省应急管理厅指导的“互联网+”地级市攻防演练在绍兴市举行。
此次演练采用了实战背景,通过信息化指挥平台开展的实时攻防作战,检验了各单位的指挥、协同、联动等能力。
本次演习模拟浙江省“互联网+”平台遭受重大网络攻击,致使多个信息系统出现功能瘫痪、业务中断等问题,浙江省应急管理厅随即启动应急……继续阅读 »
langsa
2年前 (2022-12-19) 352浏览 0评论
1个赞
如何做好一个渗透测试工程师
了解操作系统和网络技术:渗透测试工程师需要熟悉操作系统和网络技术,掌握各种操作系统的安装、配置以及网络技术,如TCP/IP、HTTP、FTP等,这些技术可以帮助他们更好地理解系统的漏洞和攻击方式。
熟悉安全测试工具:渗透测试工程师需要熟悉常用的安全测试工具,如Nmap、Metasploit、Burpsuite等,这些工具可以帮助他们更有效地进行渗透测试。
熟悉渗透测试流程:渗透……继续阅读 »
langsa
2年前 (2022-12-17) 358浏览 0评论
1个赞
漏洞概述
Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。
Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序……继续阅读 »
alsly
2年前 (2022-12-15) 554浏览 0评论
1个赞
代码审计目的
代码审计就是对目标的源代码进行分析,发现其程序错误、安全漏洞和违反程序规范的地方。提前做好代码审计工作,非常大的好处就是限于黑客发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起挑战。
代码审计基础
代码审计两种基本方式
通读全文源码:通读全文发作为一种最麻烦的方法也是最全面的审计方法。特别是针对大型程序,源码成千上万行。当然了解整个Web应用的业务逻辑,才能挖掘到更……继续阅读 »
Bains
2年前 (2022-12-14) 521浏览 0评论
1个赞
介绍
super-xray:Xray GUI 启动器
在 xray 的规划中,未来会有一款真正的完善的 GUI 版 XrayPro 工具,敬请期待。
获取
关注浪飒sec回复super-xray获取下载链接
提供版本为0.8,可以与rad联动
super-xray-0.8.jar:普通的Jar包,使用java -jar启动
super-xray-0.8-jre-exe.zip:内置JRE的EXE版本,适用于没有……继续阅读 »
langsa
2年前 (2022-12-14) 394浏览 1评论
2个赞
漏洞概述
fastjson 1.2.24 反序列化导致任意命令执行漏洞,漏洞影响范围:fastjson<=1.2.24
环境搭建
环境搭建完毕,访问http://192.168.0.140:8090/,得到如下页面
抓包,修改数据包,就可以更新服务器端的信息
GET修改成POST,再添加
Content-Type:application/json
{"name":"hello&……继续阅读 »
alsly
2年前 (2022-12-13) 423浏览 0评论
3个赞
