在之前的一系列文章中,我们主要讲了内网渗透的一些知识,而在现实中,要进行内网渗透,一个很重要的前提便是:你得能进入内网啊!所以,从这篇文章开始,我们将开启Web渗透的学习(内网渗透系列还会继续长期更新哦)。
渗透测试,是渗透测试工程师完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标网络、主机、应用的安全作深入的探测,帮助企业挖掘出正常业务流程中的安全缺陷和漏洞,助力企业...
Web渗透测试:信息收集篇
App渗透 – 从SQL注入到人脸识别登录绕过
App渗透 - 人脸识别登录绕过
打开APP是一个登录框
抓包后发现参数被加密了
使用Jadx脱源码发现,并没有加壳也没有混淆,运气很好
根据经验,先搜索Encrypt、Decrypt等关键字,发现在Common.js中有一个encryptData函数
定位过去,一套加解密算法都写好了放在这
放到浏览器console里面调试,果然没错
首先测试了一下注入
明文:{"userName":"TEST'","passWord":"123456","osType":"android","osVersio...