双向认证APP自吐密码在许多业务非常聚焦比如行业应用、银行、公共交通、游戏等行业,C/S架构中服务器高度集中,对应用的版本控制非常严格,这时候就会在服务器上部署对app内置证书的校验代码。抓包出现如下...
关于Cobalt Strike检测方法与去特征的思考
作者:毁三观大人 Dm校对:FlameDeadEye安全实验室出品,未经授权,禁止洗搞,如有洗搞,肯定搞你人云亦云关于检测Cobalt Strike的方法有很多,而网上有一些文章会告诉大家...
APP 如何进行HTTPS双向认证抓包
No.1说明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必...
域名数字证书安全漫谈(3)-您被证书服务机构忽悠了吗?
各证书机构及中间服务商,在对证书分类的时候,所使用的名称五花八门,有的服务商不使用通用的分类名称,而是使用自己分类的品牌名。公司周边同事也分不清这些证书到底有什么区别,只好听证书机构的人员推荐,很多时...
域名数字证书安全漫谈(4)-假冒证书、DNS劫持、钓鱼攻击
以往,钓鱼网站都是采用跟目标网站相似的域名,这种情况下,钓鱼网站完全可以使用自己申请的证书,直接通过关键词竞价排名等手段将流量吸引过来,达到欺骗用户的目的。这类网站稍加留意,即可发现破绽。那么有没有使...
教程:用两仪进行免 ROOT 抓包
我们生活在网络信息时代,可以说我们使用的绝大多数设备特别是手机、电脑都离不开网络请求。抓包是一种可以窥探设备发出的网络请求,并且对网络请求作出拦截和修改的技术。也许有童鞋一头雾水,我打个比方:我们的大...
App渗透环境搭建到实战
一、前言使用模拟器:MuMu模拟器 安卓模拟器下载地址:https://mumu.163.com/baiduwy;选用的安卓手机模拟器为MuMu模拟器,因为它的安卓版本是7.0...
网络安全知识体系1.1法律法规(二十九)侵权行为
7 侵权行为侵权行为是除违约以外的任何民事不法行为。与合同责任不同,侵权责任不一定基于实施侵权行为的人(“侵权行为人”)与受该侵权行为伤害的人(“受害者”)之间的自愿关系。本节将...
一文帮你解决APP抓包难题
1.前言 在日常渗透过程中我们经常会遇到瓶颈无处下手,这个时候如果攻击者从公众号或者APP进行突破,往往会有很多惊喜。但是目前市场上的APP都会为防止别人恶意盗取和恶意篡改进行一些保护措施,比如模拟器...
记某edu证书获取过程
前言一切漏洞都来源于人们对细微之处的忽视玩eud也有段时间了,不搞本证书不是白玩了~ 由于有证书的学校几乎都把后台等敏感的网站都放入了内网,而外网常见漏洞基本上都被挖干净了,所以想要获取证书必须要有别...
域名数字证书安全漫谈(2)-签名哈希算法与证书伪造
域名数字证书安全漫谈(2)-签名哈希算法的重要性与证书伪造证书中的签名哈希算法如下图所示:它是上一级证书对域名证书执行签名的过程中需要使用的,具体的签名过程可分为两步:第一步,将域名证书的内容,使用签...
非对称密码-公私钥的创建
简述我们这里创建的并非SSL证书,而是一对公私钥,SSL证书只能说是公私钥加密的一种应用。OpenSSL工具OpenSSL是一个安全套接字层密码库,囊括主要的密码算法、常用密钥、证书封装管理功能及实现...
30