阿蓝
阿蓝

性别: 注册于 2021-08-19

向TA求助
11金币数
329 经验值
19个粉丝
主页被访问 6304 次

24 个回答

1 赞同

app检测root,检测frida无法抓包测试怎么办?

root检测可以通过magisk+shamiko+LSPosed进行系统信息的隐藏绕过frida检测可以通过魔改后的frida_server再结合修改默认文件名以及默认端口进行绕过检测

回答于 2023-02-16 13:39

0 赞同

在渗透测试过程中,已知账号和密码,在更改密码功能点有哪些测试...

1、修改密码不需要原始密码或其他验证模式导致CSRF漏洞2、有验证码可以测试验证码相关的一些列漏洞3、修改密码处是否存在注入类的漏洞4、合规相关的敏感信息的明文传输5、密码修改功能是否存在越权类

回答于 2022-02-18 17:25

0 赞同

后台登录问题

接口业务层面应该设置了检测,通过uri可以判断是api接口,可以对api进行测试。尝试查看是否有一些js,js中如果有api接口可以把api跑出来,或者直接fuzz api,然后对api进行变量的枚举和fuzz

回答于 2022-01-24 17:47

1 赞同

应急响应中,通过office文档进行投毒的事件怎么去朔源?

1、先通过进程或者网络连接找出恶意的进程连接2、针对找到的进程或者网络连接分析启动该进程的程序3、可以利用在线威胁情报平台分析该程序检测一下其运行的特征,分析出是否还有其他的一些恶意程序4、有技术能力的可以自己通过静态分析结合动态调试进行分析,并和在线检测结果进行对比5、通过日志以及流量等情况和上边的分...

回答于 2022-01-24 17:42

0 赞同

面对一些新型的开发语言和框架(Go,nodejs,python等)有什么好...

1、历史漏洞进行测试2、有源码的前提下代码审计3、没源码的情况下慢慢尝试挖掘

回答于 2021-11-17 19:04

1 赞同

外网渗透怎么防止收到的资产是蜜罐

1、浏览器各种防蜜罐的插件上一套2、访问该站点便会存在很明显的一些漏洞,进去后会发现是个空壳没有什么有用的东西,十有八九是蜜罐3、测试机足够干净,虚拟机最好

回答于 2021-11-17 19:03

0 赞同

关于awvs的sql注入

参数epaper_mail,基于时间的盲注,利用sqlmap跑一下,如果跑不出来则手工测一下,看sleep休眠时间是不会成功。

回答于 2021-11-17 18:55

0 赞同

各位师傅们 开了cdn 有什么灵性的方法找到真实ip

全球鹰进行搜索、查dns历史记录、子域名ip查询、超级ping

回答于 2021-11-12 09:29

1 赞同

burp抓包到底是抓的流量包还是本地包,为什么有人说是本地包,有...

流量包,只不过是在你本地抓的被代理的客户端和服务端交互的流量数据包

回答于 2021-11-12 09:24

0 赞同

作为一个对白帽黑客完全不了解的新手小白,该如何从C++亦或是C语...

首先应该选择一个你个人认为感兴趣的方向,然后再去学习;渗透测试:php代码、web安全、内网渗透、java代码、代码审计、免杀等;软件逆向:C/C++学习、汇编、软件逆向、反调试、反汇编、脱壳、hook等android逆向:java(C/C++)代码、smali代码逆向、ndk开发、arm逆向、反调试、脱壳、hook等。。。。

回答于 2021-10-26 14:58