毕设记录

蛋疼 写累了记录一下目前毕设的情况 一开始思路很明确,涉及到的内容主要有: Web展示页面部分【最后做 实装为了达到毕设要求的其他exp模块【中期之后或者中期前看有没时间做 一个爬虫用于爬取页面中的url和参数【完成 一个用于获取经过动态渲染后的页面源代码的模块【完成 XSS检测模块【进行中 然后初步先判定输入输出点数据是否经过过滤或编码,根据编码或过滤的情况加载不同的payload去尝试,根据页面回显中内容进行判断 剩下的就是一些数据转换啦编码啦之类的小函数 但是写着写着就有点,偏离了原本的想法。。。 不管中间payload的选择模版怎么判断 最后的判定一定以输入输出对应为主 不同的payload的选择仅仅只是根据filter的类型选择不同模版而已 但是 最后的判定这个函数 也可以根据输出点的不同 来判断,然而这样需要判断其过滤方式 且payload本身的选择在这部分之前,,因此输出点的判断要在payload选择方式之前判断完成 和正则杠上了 现在结果流程比较 明确了 但是还有个问题就是 网络部分的实例声明 为了代码简洁应该不在不同函数中声明多个实例去处理,还需要...»

kafkatao kafkatao 分类:默认分类 标签:none

膜大佬博客笔记

对于安全测试 越早越好 伴随SDL整个过程 培养开发人员安全意识 特别是从甲方角度来看,培养安全意识 弄好安全开发规范,才是一劳永逸的办法 否则修修补补 还要推动整改 不是好事 业务分级 不在低级别的业务上投入太多 投入产出比 测试过程具有针对性 每个环境都不太一样 所以在不同的环境下 可能有独特的 适合去测试的手法 对于测试目标 争取拿到所有文档 争取覆盖所有 可能 或者不可知的 流程 有白盒尽量白盒 可以覆盖更多 还有就是可以 弄到黑盒忽略的东西 比如就不用猜后面代码怎么写的,根据怎么写的有什么绕过方式 而不是 瞎几把猜和试,还有就是逻辑,就可以一眼看出是否正确。(但是目前我的代码审计经验 可能还是黑盒会更顺手一些) 源代码审计1 安全规范合规性检查VS代码漏洞检查 后者 耗时耗力 且不一定长期有效(版本更新 特性拉之类的) 而开发规范 只用检查是否采用了安全的开发方式 只要规范合适 就可以默认采用了的就是安全的 然后只检查是否合规 消耗小 (强调数据来源不可信原则) 源代码审计2 黑名单VS白名单 黑名单正则 没人可以保证一定就是正确的没有可绕过方式 想起P牛小密圈哪...»

kafkatao kafkatao 分类:默认分类 标签:none

安卓逆向学习(一)

最近吾爱开放注册了,翻到吾爱15年的陈年教程,加上突然想学安卓逆向,学习一下 关于APK文件的组成 之前在做项目的时候都是直接zip解压出来按照流程把class dex2jar一下用jd-gui看源代码,没太注意压缩包下每个目录的意义 asset文件夹:资源目录 lib文件夹:存在so库文件(记得有一次CTF的第二个逆向就是 加密算法放到了so库中 META-INF文件夹:存放一些属性文件,其中包含了一些说明版本、属性、入口类等 res文件夹:另一个资源目录,区别在于res的资源文件在编译时会自动生成R.java索引文件,在代码中要引用需要用R.xxx来引用,而asset下的资源文件不需要生成索引,在代码中用AssetManager访问,一般音频视频放在raw或asset下,其他放在res下,使用C++游戏引擎的资源文件放在asset下 AndroidMainfest.xml:整个工程的基础配置属性文件 classes.dex:java代码编译得到的虚拟机能直接运行的文件 resources.arsc:对res目录下资源的索引文件 对APK文件进行修改的话是修改.smali文...»

kafkatao kafkatao 分类:默认分类 标签:none

寒假

还有1个半小时不到,今年的工作就结束了,暂时告别绿盟的生活模式。 一路走来,真的是弯路走了很多,坑也踩了很多,难受,不后悔,因为没办法。 这几天wiki还挺多,感兴趣的没有特别多,难道大佬们冬天也一样会怠惰的吗。 公司confluence挂了,无意间发现藏经阁居然对我开放了,马上把感兴趣的资料下了下来,顺便翻了翻资料密级。 有点担心搞不定未来的学习啊,不过应该不大会吧。 明年准备针对应急补补逆向,再补补域渗透。 看了一些企业安全的东西,很多还是能和工作中接触的东西对的上号。开始了解SDL相关知识,感觉开了一个大坑。 嗯,最近还对黑产灰产的操作和利益来源比较感兴趣。 实际上学习记录还是在写的,乱的没特点的也不好意思放博客了。 临走前把报销报了,翻了翻邮箱,去年也是差不多这个时候请假的orz... 整理整理桌子,隔壁haohong哥竟然搞了个什么净瓶养植物,佛系玩家。 公司玻璃上居然还是圣诞的贴纸。 走了走了,回家休息了。 明年在做事上,争取每件事都做得靠谱。 »

kafkatao kafkatao 分类:默认分类 标签:none