移动安全 - 第 41 | CN-SEC 中文网

某预装 App 中的任意代码执行

概要报告时间：2023 年 2 月补丁日期：N/A类型：提权REWARD: $4000影响范围：[马赛克]这个报告比较奇特，这是个国际性的设备大厂（非中国本土厂商），但大哥说没人维护了，最终修复方案是...

09月10日移动安全23 views评论

阅读全文

移动安全

微信小程序渗透 | 微信小程序反编译

本文由掌控安全学院 - Tobisec 投稿 0x1 前言这几天在跟着师傅一起学习微信小程序的相关知识点，前面的微信小程序的漏洞挖掘蛮简单的，但是到后面需要黑盒测试了，就需要我们对小程...

09月09日55 views评论

阅读全文

移动安全

Android 渗透测试中不安全的 Webview 到本地文件包含

概括内容讨论了 Android 应用程序中 WebView 不安全实现所带来的安全风险，特别关注本地文件包含 (LFI) 漏洞和未经授权访问本地文件的可能性。抽象的题为“Android 渗透测试中不安...

09月09日34 views评论

阅读全文

移动安全

Android app抓包场景详解

一、未校验：配置证书就能抓1.这种情况是最简单的情况，Android 7.0之前的设备，直接配置用户证书，就能进行抓包，Android 7.0之后的设备，需要获取root权限1后，把用户证书移到系统证...

09月09日15 views评论

阅读全文

移动安全

安卓逆向 -- 用小黄鸟获取手写模拟器会员

第一步打开小黄鸟选择目标应用为手写模拟器第二步右上角菜单选择过滤JSON格式响应第三步打开手写模拟器（记住手写模拟器一定要打开一下我的界面）开始抓包第四步抓包后选择如图所示点击进去...

09月07日110 views评论

阅读全文

天线的分类

学习涨知识,三连一下呗。天线的分类一、按工作性质分类 1.1、接收天线接收天线能够将空间中接收的电磁波能量转换为电信号。接收天线通常具有选择性，在只接收来自特定方向的信号的同时抑制来自其他方向...

09月07日移动安全64 views评论

阅读全文

移动安全

sign加密小程序漏洞挖掘

公众号：安全客资讯平台（ID：anquanbobao）作者：（eeknight）前言通过本篇论文，你可以了解两个知识点： sign加密解密小程序漏洞挖掘漏洞发现注册的时候点击一个获取手机号...

09月04日30 views评论

阅读全文

移动安全

安卓逆向 -- 某云快播逆向分析

样本下载地址：https://pan.quark.cn/s/5bd3282fd3da工具：jadx、Burp、frIDA、雷电模拟器方法：修改网络响应难点：代码混淆、动态控制流（while中套多个ca...

09月04日48 views评论

阅读全文

移动安全

安卓渗透第三弹-Apk反编译分析加密编写自动化解密脚本

0x01 前言有时候在对APP抓包的时候，经常会遇到参数加密，app也不像web端一样，可以直接打断点进行调试，找到加密方法，在app没有加壳的情况下，我们可以反编译找加密点，或者是动态调试，这里...

09月03日88 views评论

阅读全文

移动安全

Android破签：密钥native方法里了？不会C也看不懂IDA？用这个工具吧~

最近更新比较少，主要还是本职工作太忙了，难受啊。0x00最近在挖某APP时，想要尝试修改请求参数，但是发现这个APP对所有的请求都做了签名校验。那没办法，只能反编译APK看一下签名是怎么实现的了。反编...

09月02日36 views评论

阅读全文

安全工具

自动化反编译微信小程序

02文章正文工具介绍纯Golang实现的自动化反编译微信小程序的工具，小程序安全评估利器，发现小程序安全问题，自动解密，解包，可还原工程目录，支持修改Hook，小程序，支持微信开发者工具运行。由于采...

09月01日26 views评论

阅读全文

移动安全

Android系统定制绕过检测(入门到精通-建议收藏)

搭建云手机(无需Root权限)2022全球20多款知名的Android刷机ROM镜像和Android系统开源源码(覆盖全球机型)APP项目编译篇Android主流热更新方案Android Studio...

08月31日186 views评论

阅读全文

在线咨询

微信