安卓hook之frida安装入门
frida是一个使用动态二进制插桩技术的跨平台工具,最早在测试安卓APP项目时接触到的。网上关于frida的教程很多,大多数人(至少我)可能只会用到百分之几的功能。本文仅重点介绍(还原)安装frida的过程。
我的测试环境:win10 64位;python3.8.0(官方推荐python3.x[……]
XSS测试平台xss-platform搭建
xss俗称跨站脚本漏洞/攻击,本文不赘述它的原理,只讲下xss-platform这个基于php的xss平台搭建,在这次测试过程中下过两个版本的xss-platform,一个是比较老的需要在php5.6的前后的版本上使用,另一个是由其他大神修改的需要7.0以上版本的。因为是基于php+mysql的所以[……]
只允许特定电脑访问网站(根据访问者硬件信息区分)
最近接到一个需求,需求放想要实现只允许特定人员的电脑登录公司里的后台管理系统。刚接到这个需求觉得是异想天开,受限于B/S架构想要通过浏览器来识别不同电脑从来没听说过。正常第一反映是通过ip地址来进行限制,但是这个后台管理系统在互联网上运行,而需求方想要实现的是全国各地分公司下面的部分特定人员的办工电[……]
通达OA2017任意用户免密码登录漏洞
通达OA2017版本以及V11.x~V11.5都存在此问题。官方已经给出了相关的修复。
关于此漏洞可以移步阿里云的安全公告查看: https://help.aliyun.com/noticelist/articleid/1060277736.html?spm=a2c4g.789213612.n[……]
YAPI远程命令执行漏洞(最新版已修复此问题)
YAPI是一个广泛使用的api接口管理系统,本文讲的这个远程命令执行漏洞其实已经在最新的几个yapi版本中修复了。漏洞利用过程概括起来就是YAPI开放了注册功能,然后恶意用户注册后新建项目并在接口的Mock功能里面添加了恶意脚本,最终执行了脚本里的命令。
如果要看YAPI的安装昨天有写一篇安装[……]
mac下shiro550反序列化测试环境搭建(windows同理)
本文内容仅用于学习研究,禁止用于非法用途。
一、安装java1.8环境
一定要是java1.8;如果你安装的是默认的最新的16或17版本的java会导致用于测试的某些java程序不能运行!如果你的电脑存在2种或更多版本的java,可以使用指定版本java完整路径的命令来启动jav[……]