记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Java SpringBoot 相关漏洞学习资料+基于实战沉淀下的各种弱密码字典

0X00    SpringBoot 相关漏洞学习资料,利用方法和技巧合集,黑盒安全评估 checklist 项目地址: https://github.com/LandGrey/SpringBootVulExploit 喜欢请记得,点个Star!!! 0X01    基于实战沉淀下的各种弱密码字典 可能是个人习惯吧,每做完一个目标都会习惯性的把一些频率使用较高,较典型的口令,子域,机器名都详细总结梳理到自己的字典中除此之外,也会去仔细分析该目标的一些密码设置规则,然后再把这些规则补充到自己的口令生成脚本里后续再拿这些到别的目标中去用,循环往复的不停积累,这也可能是精度相对高的原因 项目地址 https://githu
发布时间:2020-07-02 13:21 | 阅读:1137 | 评论:0 | 标签:脉搏文库 CDN checklist java SpringBoot 云WAF 厂商 口令 子域 子域名 弱密码字典

注册模块上线前安全测试checklist

许多应用系统都有注册模块,正常用户通过注册功能,获得应用系统使用权限;而非法用户通过注册模块,则是为了达到不可告人的目的,非法用户可以通过注册模块与服务端进行交互(一切用户输入都不可信),因此系统上线前,有必要对注册模块进行重点测试。 一、注册模块是否面向大众 根据系统业务需求,分析注册模块面向群体;如果是面向大众,则注册模块应该放在显而易见的地方;比如freebuf的注册功能 重点要强调一下面向内部的注册功能,此时注册模块应该是尽可能的隐藏起来。对内部注册模块隐藏的是否完美,上线前就必须进行测试。红军视角(黑盒测试):通过目录扫描、审查源代码、爬取js文件,发现隐藏的用户注册接口,比如未删除的注释,还可借助社工思维,比如登录地址为www.xxx.com/userLogin,可猜测注册地址为www.xxx.c
发布时间:2020-02-20 11:17 | 阅读:22375 | 评论:0 | 标签:WEB安全 CheckList 安全测试 注册模块

安卓应用程序渗透测试(十二)

前不久为大家介绍了安卓应用程序渗透测试checklist的第一部分,今天与大家分享第二部分。M6—不安全的授权为了测试设计存在问题的授权方案,测试员可以尝试对移动app发起二进制攻击,在app处于离线模式下执行只有高级权限用户才能执行的功能,看看是否能成功。测试员可以尝试在向后端服务器发起敏感功能的POST/GET请求中使用低权限的session来执行高权限的功能。授权方案设计存在缺陷或者缺失,让攻击者能够使用通过app身份验证的低权限用户执行他们原本无权执行的功能。手机有一个需求就是要保证离线时的可用性,所以授权通常是在移动设备本地完成的,而不是通过远程服务器,如此一来,授权问题就更加容易遭受攻击。如果授权被绕过,依
发布时间:2018-10-17 12:20 | 阅读:178054 | 评论:0 | 标签:移动安全 Android checklist 渗透测试

安卓应用程序渗透测试(十一)

移动平台提供了很多服务,从身份验证到安全数据存储再到安全网络通信。但是,如果平台的某些功能使用不当,可能会导致数据泄露,允许不信任主机连接等问题。本文我们总结了一些安卓的checklist。M1–平台使用不当移动平台(iOS,Android,Windows phone)为我们提供了文档结构良好且通俗易懂的特性和功能,而这类风险的特征就是app没有使用这种功能或者使用不当。另请阅读:完整的移动应用渗透测试指南导致这种风险的行为有如下几种:违反发布的指南所有平台都会开发安全指南。如果某个app不遵守安全指南,违反开发者提供的最佳做法,就会存在该风险。违反条款或惯例开发者编写的指南并不会包含所有的最佳做法,在某些
发布时间:2018-10-15 12:20 | 阅读:149652 | 评论:0 | 标签:移动安全 Android checklist 渗透测试

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云