声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。众亦信安,中意你啊!点不了吃亏,点不了上当,设置星标,方能无恙!背景:hospit...
12月18日58 views评论des
小程序
记一次小程序js逆向到越权修改密码
12月18日58 views评论des
小程序
12月18日58 views评论des
小程序
IOS SSL Pinning 单向证书检验
原创文章移动安全渗透技术 原创声明:转载本文请标注出处和作者。 前言:在 TLS 或 SSL 连接中,单向证书检验可以防止连接的另一端冒充其他身份。应用程序可以使用单向证书检验来验证连接的另一端是否是...
12月18日39 views评论ctx
eval
APP脱壳与逆向
每部手机中离不开APP的运行。但是有些恶意APP你知道是怎样运行的吗?这就需要我们掌握一定的安卓逆向基础。随着本文让我们一起走进安卓逆向的学习吧。加壳与脱壳什么是加壳所谓“壳”,本人的理解是为app添...
12月18日68 views评论反编译
安卓逆向
一个简单的Xposed模块编写
以下内容来自WebSec星球群Hide师傅投稿1. 环境准备Xposed源码编译的过程中, 我们需要详细的了解Xposed中不同模块对应的版本以及适配的 Android&...
12月18日68 views评论websec
xposed
加解密成功后的app捡洞经过
No.0 前言 学习了app最近再挖src,比较下来确实app的Src更好挖一些,只要解决了抓包解密的问题,挖洞思路和web没两样。 No.1 记录一下第一次加解密 首先介绍一下要解密的参数 就是这个...
12月18日24 views评论解密
账号
【APP小程序】移动安全系统&资产提取&评估扫描
AppinfoScanner资产提取AppinfoScanner一款适用于以HW行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测...
12月18日33 views评论小程序
渗透测试
Android App半自动化静态漏洞挖掘技术分析
一、前言 在Android应用层安全研究领域,研究人员大多采用人工审计加脚本的方式进行漏洞挖掘。针对某个新的攻击面,对手机厂商上千款的预置App开展批量的漏洞挖掘时,短时间内很难产出结果,漏洞挖掘效率...
12月17日16 views评论js
漏洞挖掘
安卓应用软件代码签名的风险挑战与应对措施
摘 要:在移动互联网时代,安卓移动应用软件已经渗透到人们生产生活的方方面面,安卓代码签名的安全问题一直是黑灰产关注的重点。通过分析不同版本的安卓代码签名机制以及代码签名在证书算法、证书使用、软件权责、...
12月16日15 views评论安卓
应用软件
APP抓包-代理转发绕过反代理+Xposed绕过证书校验
某牛牛安卓app防抓包 夜神模拟器打开牛牛,出现网络连接失败等情况。明明网络一切正常,为什么会这样呢? 因为牛牛设置了反代理,而我开启了代理 burp也无任何牛牛的数据包产生 关闭代理之后牛牛就正常了...
12月15日33 views评论代理
模拟器
Mac最新版微信小程序抓包配置(3.8.5)
前言 PC端微信小程序的抓包一般是通过两种方式进行抓包: 1、配置全局代理,获取所有微信流量数据。 2、通过分析微信小程序的可执行文件路径,定向抓取该程序流量。 微信小程序的抓包一直是令...
12月15日242 views评论macos
可执行文件
app常见性能测试点之响应时间测
来源:知乎 软件的响应时间和响应速度直接影响到用户的体验度,如果一个软件,迟迟加载不出来,会直接影响到软件的日活、留存。因此对于一个软件,对响应速度测试是必不可少的 主要测试点: 1、冷启动:首次启动...
12月15日66 views评论单元测试
页面
【APP小程序】APP抓包Proxifier绕过反代理和Xposed证书校验
无法获取APP数据包通常获取不到APP应用数据包会有两种情况:反代理机制反证书机制如果数据走的ssl https,那么数据包有三种验证情况:客户端不存在证书校验,服务器也不存在证书校验。客户端存在校验...
12月14日49 views评论代理
证书
133