daily_2021

2022-09-08 12:18:55 浏览数 (2)

DAILY

2021年4月19日 学习记录

接码平台: https://www.zusms.com/ wannengjm.com http://www.kakasms.com/ deskos.cn https://yunduanxin.net/

2021年4月15日 学习记录

whatsapp

2021年4月14日 学习记录

有用的网站: 微步在线情报分享社区,刚看群里发现还有搞笑段子 如:

代码语言:javascript复制
HW如何体面的维持甲方的“四菜一汤”
 匿名用户 2021-04-14 09:33:01 319次浏览
预警越来越少,已经从刚开始最多的一天40条,减少到了5条以内,每当甲方问我预警数时,眼神中充满期待又略带不安。

为了体面的维持甲方提供的“四菜一汤”

我决定自费采购几台VPS,再弄几个新域名,写几个自动化脚本。。。O(∩_∩)O哈哈~  

2021年4月13日 学习记录

seebug

seebug 漏洞分析seebug知道创宇 Android版Dropbox内容提供程序安全绕过漏洞

jsop跨域学习

参考链接: 解决cookie跨域访问 jsonp跨域请求详解——从繁至简 JSONP 劫持漏洞实例 常见WEB漏洞:JSONP安全与防御 读取cookie代码:

代码语言:javascript复制
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>读取cookie</title>
<script type="text/javascript" src="https://www.w3school.com.cn/jquery/jquery-1.11.1.min.js"></script>
<script type="text/javascript">
	// $(document).ready(function(){
	// 	$.ajax({
	// 		url:'http://www.baidu.com',dataType:"jsonp",jsonp:"jsonpcallback",success:function(data){
	// 			alert(data.res);
	// 		}
	// 	})
	// })

</script>
<script type="text/javascript">
xx();
	function xx(){
		var strCookie = document.cookie;
            var arrCookie = strCookie.split("; ");
            for(var i = 0; i < arrCookie.length; i  ){
               var arr = arrCookie[i].split("=");
               console.log(arr[0],arr[1]);
               alert(arr[0],arr[1])
            }
         alert(1)
         alert(strCookie)
	}
</script>
</head>
<body>
    <h1>xxx</h1>
    <p>lll</p>
</body>
</html>

mac中apache默认位置

配置文件 /etc/apache2/httpd.conf 目录 DocumentRoot 及下面Directory

Apache运行命令:

sudo apachectl start //开始 sudo apachectl restart //重启 sudo apachectl stop //停止 默认位置在: /Library/WebServer/Documents

url schema 问题

草料二维码 activity组件导出实验 android androidmanifest需要检测的安全问题 tent scheme URL attack android scheme链接打开本地应用 Android Intent Scheme URLs攻击 7.7 Intent Scheme URL漏洞攻击检测 IntentScheme 细数安卓APP那些远程攻击漏洞 0x01 Android Intents with Chrome Android 跨应用间调用: URL Scheme

代码语言:javascript复制
String url = "jafir://main.app?key=传递的参数" 
 Intent in = new Intent(Intent.ACTION_VIEW, Uri.parse(url));
                    startActivity(in);

Intent intent = getIntent();
        String scheme = intent.getScheme();
        Uri uri = intent.getData();
        System.out.println("scheme:" scheme);
        if (uri != null) {
            String host = uri.getHost();
            String dataString = intent.getDataString();
            //获得参数值
            String key1 = uri.getQueryParameter("key1");
      }  

android webview风险

android webview file域控制不严格利用 android webview 漏洞 android XSS攻击 TikTok for Android 1-Click RCE

OWASP Mobile Security Testing Guide

OWASPMobileSecurity basic-security_testing Mobile AppSec Verification Standard APP 安全测试(OWASP Mobile Top 10)–后篇之一 [翻译]OWASP 安卓测试指南(v1.2 - 14 May 2020)节选

SSL Pinning

[翻译]移动应用程序 SSL Pinning 安全开发与审计框架:Anddroid 设备案例

2021年4月12日 学习记录

APP调试中容易被忽视的安全项

gplaycli

gplaycli GPlayCli是用于从Google Play商店搜索,安装和更新Android应用程序的命令行工具。 https://github.com/matlink/gplaycli#installation 下载 $ gplaycli -p -v -d com.google.android.keep

KeyStore

keystore

android 逆向教程

《教我兄弟学Android逆向09 IDA动态破解登陆验证》

0 人点赞