移动安全 | CN-SEC 中文网

移动安全

Android9安装burp证书解决浏览器报错：该网站的安全证书有问题

这篇文章主要解决Android中浏览器访问https报错：该网站的安全证书有问题，偶尔要测试抓包结果访问https测试的，不然也没必要这么麻烦，直接导出burp证书导入即可，毕竟如果是web也没必要在...

13小时前14 views评论

阅读全文

移动安全

还搞定不了APP so层算法使用动态密钥加密传输？手把手教会你！

1 Start 越来越多的单位喜欢用对称加密和非对称加密相结合的方式来加固自己的通信数据，也就是动态生成对称加密的密钥，然后使用对称加密来加密通信数据包，使用非对称加密去加密动态...

05月15日9 views评论

阅读全文

移动安全

记一次简单纯捡漏实战技巧

声明声明：文章中涉及的工具(方法)可能带有攻击性，仅供安全研究与教学使用；读者若做其他违法犯罪用途，由用户承担全部法律及连带责任；文章作者不承担任何法律及连带责任。前言（纯牛马）还...

05月13日10 views评论

阅读全文

移动安全

通过CE调试安卓APP

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！如有侵权烦请告知，我会立即删除并致歉。谢谢！文章有疑问的，可以公众号发消息...

05月13日8 views评论

阅读全文

移动安全

文化局小程序的一次越权测试

声明本文章所分享内容仅用于网络安全相关的技术讨论和学习，注意，切勿用于违法途径，所有渗透测试都需要获取授权，违者后果自行承担，与本文章及作者无关，请谨记守法。前言去年年底的时候项目不是很多，但是还有，...

05月12日11 views评论

阅读全文

移动安全

通过CE固定小程序动态密钥后自动化加解密|挖洞技巧

0x01 前言项目中遇到一个小程序，每次请求都动态生成AES密钥，请求包和响应包都是用AES加密。最开始的思路是通过重新打包小程序，把密钥设置为固定值，但这个小程序有做完整性检测，会报告...

05月12日9 views评论

阅读全文

移动安全

微信小程序任意用户登录

在登陆时，弹出这个页面时。抓包，观察数据包的内容。会发现有mobile值（密文）和iv值（随机数），拿到密文，肯定时想到解密，想要解密就必须知道密文，iv，session_key，这三个缺一不可，得到...

05月11日15 views评论

阅读全文

移动安全

记一次小米-root+简易app抓包(新手)

前言学弟去实习了，由于一直让我教app渗透抓包，但是没真机呀，我也不好教，只能远程指导他一下去搞了，让他自己按网上教程先搞个root，再装小黄鸟应该暂时应付一下，于是有了下面的新手教程。一、买机子买二...

05月09日31 views评论

阅读全文

移动安全

反编译小程序、数据加密解密、sign值绕过

在一次渗透测试中对客户的小程序进行测试，一抓包就发现重重加密数据，在手机号一键登录数据包中发现泄露了session_key值，但是进行加密处理过，那就反编译小程序进行解密尝试。反编译小程序在点击该小程...

05月07日14 views评论

阅读全文

魔改Frida方案浅析

Frida作为一款动态插桩工具，因其跨平台、多语言支持和灵活的动态调试能力，被广泛应用于移动应用逆向工程与安全分析。然而，其广泛使用也催生了对抗检测的需求，尤其是在游戏安全、金融应用等场景中。为绕过检...

05月07日移动安全10 views评论

阅读全文

移动安全

安卓逆向某Video Pro版修改思路

NodeVideo修改思路，在翻遍许多条帖子，发现只是通过搜索的isPro去修改的，该篇通过搜索字符串确定修改位置(最后都是修改的isPro方法，只是多条思路)工具:Il2CppDumperIDA P...

05月07日12 views评论

阅读全文

移动安全

AOSP OTA签名验证漏洞——如何绕过Android系统更新包的安全检查？

一个隐藏在Android系统更新包签名验证中的小漏洞，竟然可以让恶意软件包通过安全检查！在当今数字化时代，Android设备的安全性一直是用户和开发者关注的焦点。系统更新作为保障设备安全的重要手段，其...

05月06日9 views评论

阅读全文

在线咨询

微信