移动安全
· 共 8 篇
从外网小程序突破到内网全域漫游
前言 某年某月的某一天,本该是牵手逛街的美好周末,但是老板安排我们安服仔去某交通公司。该公司刚刚上线一批信息化项目需要渗透测试,目标范围为公司对外业务系统及关联资产,重点验证从外网到核心区的纵深防御能力。飞机飞了3个小时后又整了2小时汽车,我都没有来得及休息就开始了长达7天的探宝…
微信小程序渗透测试全攻略、抓包解密+源码逆向+漏洞挖掘
本文分为三部分,第一部分涵盖了微信小程序渗透前置知识,第二部分讲述小程序渗透常用方法,第三部分讲述小程序实践挖掘技巧。 0x01 前置知识 为什么要使用小程序? 小程序相较于APP来说: - 对用户具有:无需安装,多终端适配,占用内存小等优点 - 对创作者有:适合初创团队,试错成…
静态分析技术Android-APK渗透测试
1.Activity 导出的activity是安卓应用组件在渗透测试中经常遇到的问题之一。导出的activity可以被同一设备上的其他应用调用。 导出属性默认值取决于activity是否包含Intent过滤器,如果不包含过滤器,那么只能通过指定准确的类名才能调用activity。…
反编译 APK 从中获取到的敏感信息
在一次渗透测试中,通过信息发现主域名 xxx.com.cn 下存在子域名 mobile.xxx.com.cn。 可以看到存在很多的 apk 安装包。
某漫画系统存在SQL注入一个单引号触发的沦陷
在翻阅前台功能点时对安全设置功能处某个数据包添加单引号后触发sql报错 前台:
小程序 sign 签名破解指南:从反编译到算法还原实操
0X01 Sign定义: sign一般用于参数签名,用来验证数据的完整性和真实性。为校验客户端数据传输合法性,防止用户篡改参数、伪装、重放以及数据泄露等常用sign签名校验。sign标识生成方法一般是是将秘钥、时间戳、特殊字符、随机数等参数经过特定排序后使用某种加密算法进行加密,…
安卓模拟器 App 渗透实战:抓包、证书校验、流量转发全流程
渗透测试核心为抓包 app测试和web测试并没有什么不同,只要让手机也能抓包就好 对bp这里进行修改【ip需电脑本地,端口随便一个未使用的即可】 ![图片[1]-HackTwoHub社区](/images/e367213deb9db7ef.png)