2022年

目录[TOC]前言本文介绍 Android 和 IOS 平台无法抓包问题产生原因和具体解决操作步骤,按照操作大部分问题可以解决,更加深入需要研究 Hook、Reverse,这不在本文涵盖范围内。文中特殊符号约定:Wanning 作为警告,一些特殊操作需要注意。Tips 介绍信息或提示操作......

目录[TOC]简介Server-Side Template Injection 2015 年由 James Kettle 在 Black Hat 提出完整利用链 SSTI 至此普及开来。说到后端模板与之对应的还有前端模板(CSTI),就是各种前端框架模板,一般危害就是执行 JS 代码。本......

目录[TOC]简介小程序(Mini Program)17 年提出,多见于工具应用,如健康码,打开就用,用完就关。小程序前端技术和前端框架一样,也是 MVVM 模式开发,后端由其他服务提供数据。利用微信官方给出开发原则,看完大概就能清楚常遇到的安全测试项有哪些。互不信任原则,不要信任用户提......

目录遍历,或者国内常见翻译目录穿越。也有人遇到这类问题表现出来的现象叫任意文件下载、任意文件读取,不管叫什么他们原理都是一致的,不妨碍我们沟通,在本文中称作目录遍历。这里多一嘴有时候读取出文件内容可能是 SSRF、File Include,千万别判断错误错失漏洞。漏洞原理也简单,在实现某......

目录[TOC]IO Stream(IO 流)IO 是 Input 和 OutPut 简写,是一个抽象概念,比如只要向某个对象给出数据,这个过程就叫输入,输出数据那么过程叫输出,承载输入输出的叫流(Stream)是一种装数据的管道。比如输入是将文件读到内存中,输出是将内存写入硬盘上,键盘按......