Neo-reGeorg是用于搭建http隧道的工具软件，从而利用目标主机进行内网代理。它是重构版的reGeorg，兼容python2及python3，也一直在持续更新。

使用了几次发现Neo-reGeorg有一些使用场景及特点需要注意（当然这个结论是基于我的使用情况总结的，因环境不同可能使用结[……]

继续阅读

如果是自己公司内部APP测试很简单，让开发打测试包的时候把接口地址都用http的，现在https在安卓上不太好抓包。常规抓包的核心就是使用代理，不管是电脑浏览器抓包还是安卓、ios都一样(wireshark这种数据包抓包暂且忽略)。先说说我常用的抓包代理（处理）相关软件吧，至少用在公司自有产品上是完[……]

继续阅读

frida是一个使用动态二进制插桩技术的跨平台工具，最早在测试安卓APP项目时接触到的。网上关于frida的教程很多，大多数人（至少我）可能只会用到百分之几的功能。本文仅重点介绍（还原）安装frida的过程。

我的测试环境：win10 64位；python3.8.0（官方推荐python3.x[……]

继续阅读

xss俗称跨站脚本漏洞/攻击，本文不赘述它的原理，只讲下xss-platform这个基于php的xss平台搭建，在这次测试过程中下过两个版本的xss-platform，一个是比较老的需要在php5.6的前后的版本上使用，另一个是由其他大神修改的需要7.0以上版本的。因为是基于php+mysql的所以[……]

继续阅读

最近接到一个需求，需求放想要实现只允许特定人员的电脑登录公司里的后台管理系统。刚接到这个需求觉得是异想天开，受限于B/S架构想要通过浏览器来识别不同电脑从来没听说过。正常第一反映是通过ip地址来进行限制，但是这个后台管理系统在互联网上运行，而需求方想要实现的是全国各地分公司下面的部分特定人员的办工电[……]

继续阅读

通达OA2017版本以及V11.x～V11.5都存在此问题。官方已经给出了相关的修复。

关于此漏洞可以移步阿里云的安全公告查看： https://help.aliyun.com/noticelist/articleid/1060277736.html?spm=a2c4g.789213612.n[……]

继续阅读