文章来源:HACK学习呀exchange快速了解FOFA:microsoft exchange 2013:app="Microsoft-Exchange-2013"||app="Microsoft-E...
【实战】疯狂暗示!一次对某涩情app的渗透
前言:某个星期六的晚上,我还在挖 edusrc ,刚 getshell 内网漫游完(纯属放屁哈哈哈)准备下机睡觉,修君表哥给我发了某站(表哥们懂的,疯狂暗示),我打开一看,WC好东西,不渗透一波怎么能...
第三方SDK合规问题的解决之道 (DPO社群成员观点)
编者按:2022年2月18日,工信部发布了《关于侵害用户权益行为的APP通报(2022年第1批,总第21批)》,检测发现尚有107款APP未完成整改。同时,检测过程中发现,13款内嵌第三方软件开发工具...
Python模板注入(SSTI)深入学习
前言一直对模板注入似懂非懂的,打算在这篇文章中深入的研究一下模板注入以及在ctf中bypass的办法。Learning什么是模板&模板注入小学的时候拿别人的好词好句,套在我们自己的作文里,此时...
记一次src特殊存储型xss的挖掘
0x00前提星期天在家没事的时候,意外间看到了某src冬天送卫衣的活动,卫衣好好看,决定冲一波0x01确定范围首先呢,挖之前。要先确定方向。之前从来没挖过该src的漏洞,然后一看该src15,16年就...
haproxy-ingress + modsecurity的实践
本周实践了带WAF功能的haproxy-ingress,首先部署一个dvwa的应用,vim dvwa-deployment.yaml,apiVersion: apps/v1kind: Deployme...
PendingIntent重定向:一种针对安卓系统和流行App的通用提权方法——BlackHat EU 2021议题详解 (下)
以用户隐私安全为中心,用责任兑付信任,OPPO成立子午互联网安全实验室(ZIWU Cyber Security Lab)。实验室以“保护用户的安全与隐私,为品牌注入安全基因”为使命,持续关注并发力于业...
注意 | 这14款App涉嫌超范围采集个人隐私信息
扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786国家计算机病毒应急处理中心近期通过互联网监测发现14款移动应用存在隐私不合规行为,违反《网络安全法》《个人信息保护法》相关规...
APP 安全测试项总结
一、安装包测试 1.1、关于反编译 目的是为了保护公司的知识产权和安全方面的考虑等,一些程序开发人员会在源码中硬编码一些敏感信息,如密码。而且若程序内部一些设计欠佳的逻辑,也可能隐含漏洞,一旦源码...
免脱壳寻找加解密算法 | 技术精选0123
本文约2400字,阅读约需6分钟。在渗透测试中,我们经常会遇到某些App使用了加密或加签算法。如果我们不知道实际的加密算法,我们将无法对App做进一步的渗透测试。而在我们对加密算法反编译的过程中,又会...
技术干货 | 工具的使用:网络空间搜索引擎Fofa的简单使用
搜索引擎Fofa的简单使用目录Fofa 逻辑运算符 查找使用指定应用的IP  ...
【渗透实战系列】|41-记录一次对直播app 渗透测试
关注【Hacking黑白红】回复“电子书”获取web渗透、CTF学习电子书;回复“视频教程”获取渗透测试视频教程;回复“内网书籍”获取内网学习资料;回复“CTF工具”获取渗透测试、CTF专用全套工具;...
71