protobuf协议逆向解析

前言 在app抓包的过程中，我们会发现有些app的数据也是存在加密的，抓到的数据是一堆乱码。无法来解析数据。常见的对于数据的加密方式有三种： 第一种是利用常见加密算法，诸如AES等算法，对响应数据进行…

 火线安全平台 2021-09-28 13:37:01

7,649 0 102

APP抓包问题总结及常见绕过方法

前言 在前天的沙龙上，师傅们积极探讨，期间提出了一些关于app抓包的相关问题。在此小小的总结一波有关的分析以及解决办法。 检测代理 首先是当设置手机代理后，APP无法获取网络数据。会出现无法连接网络的…

 火线安全平台 2021-09-07 15:54:19

8,443 0 104

某路由审计0day之文件包含-2

作者：Dodgers一、审计步骤：（一）查找写入文件函数：自动化审计，在这个/auth_pi/authService.php文件下发现file_put_contents函数可控，跟进该文件。/auth…

 火线安全平台 2021-08-26 13:51:07

5,885 0 99

某路由审计0day之文件包含

以下的操作会比较新手，不是那种利用链pop、cc、cc1、或者任意类调用之类的，还请师傅们见谅，如有不妥的地方，请多多包含。工具部分：Seay源代码审计系统、phpstorm64首先还是自动化审计，可…

 火线安全平台 2021-08-24 16:44:51

5,445 0 102

关于ModSecurity的妙用

自建规则0x00 序言前一段时间一直在整理ModSecurity的内容，然后也算是整理了一部分，关于ModSecurity的作用以及手册的话建议参考http://modsecurity.cn/Begi…

 Am1azi3ng 2021-08-04 15:13:45

7,320 0 3

Xcheck之Node.js安全检查引擎

0x00 Node.js安全检查引擎Node.js作为常见的Web开发语言之一，Xcheck也针对该语言打造了对应的扫描引擎：JsCheck。同样基于污点传播模型，支持以下常见漏洞类型：目前JsChe…

 Xcheck 2021-07-22 18:19:40

12,183 0 127

JumpServer日志读取漏洞自动化审计分析

0x00 JumpServer与漏洞介绍JumpServer是一个开源的堡垒机，server端使用python编写开发，开源地址在https://github.com/jumpserver/jumps…

 Xcheck 2021-07-16 17:01:46

5,325 0 106

禅道开源版自动化安全审计

0x00 禅道简介ZenTaoPMS（ZenTao Project Management System），中文名为禅道项目管理软件。禅道项目管理软件基于自主研发的PHP开发框架——禅道PHP框架开发而…

 Xcheck 2021-07-08 15:05:44

5,283 0 1

Xcheck之Python安全检查引擎

0x00 Python安全检查引擎Xcheck的Python分析引擎，能够自动分析Python写的Web应用，检测诸如命令注入、SQL注入、URL跳转、SSRF、XXE等常见的Web安全漏洞。Pyth…

 Xcheck 2021-07-02 12:03:10

6,170 0 1

利用PHAR协议进行PHP反序列化攻击

PHAR (“Php ARchive”) 是PHP中的打包文件，相当于Java中的JAR文件，在php5.3或者更高的版本中默认开启。PHAR文件缺省状态是只读的，当我们要创建一个Phar文件需要修改…

 锦行科技 2021-06-28 17:44:13

5,436 0 0

OpenRASP SQL注入绕过

OpenRASP介绍OpenRASP即应用运行时自我保护，“可直接注入到被保护应用的服务中提供函数级别的实时防护，可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞”——https:/…

 Xcheck 2021-06-23 11:03:58

6,935 0 1

ECShop最新4.1.0前台免登录SQL注入0day漏洞披露与分析

0x00 漏洞概述影响版本：ecshop4.1.0及以下是否需要身份认证：否，前台漏洞漏洞类型：SQL注入CNVD编号：CNVD-2020-58823，https://www.cnvd.org.cn/…

 Xcheck 2021-06-17 16:35:46

8,324 0 0

Xcheck之Java安全检查引擎

Java安全检查引擎Xcheck的java安全检查引擎支持Spring RequestMapping、JAX-RS、WebService和Java Servlet几种常用web接口的代码安全检查，目前…

 Xcheck 2021-06-11 10:49:50

5,190 0 1

静态代码分析工具清单

SAST，即静态应用程序安全测试，通过静态代码分析工具对源代码进行自动化检测，从而快速发现源代码中的安全缺陷。本文是一个静态源代码分析工具清单，收集了一些免费开源的项目，可从检测效率、支持的编程语言、…

 Bypass007 2021-06-08 15:35:44

6,915 0 0

MQTT安全初探

文 年华 | 图 lmn随着物联网的快速发展，当前在物联网中的常见的五种协议分别是：HTTP、CoAP、XMPP、AMQP、MQTT。但在这么多协议中，毫无疑问MQTT最具代表性,因为它占用带宽小、轻…

 物联网IOT安全 2021-06-04 17:17:47

5,250 0 0