背景在做渗透测试过程中，脆弱点评估是一个枯燥的过程，目标系统 Web 接口可能成百上千个，每个接口都需要做认证，授权，输入检测，错误管理，业务逻辑等安全问题。特别是针对输入检测模块，XSS...

J越狱（Jailbreak）取消了设备的安全限制，目的是安装非官方应用程序并对系统进行修改。通常应用于手机。K密匙（Key）用于加密和解密密文的数值。键盘记录器（Keylogger）一种跟踪按键和键盘事...

摘要：对于WEB漏洞的越权漏洞检测，除了人工检测方法外，还有没有更好的办法。0x00 前言说起WEB安全大家能想到什么？SQL注入、XSS、越权、文件上传、CSRF等等漏洞？还是WVS、APPscan、openVAS等...

Globe Telecom是菲律宾的主要电信服务提供商，也是菲律宾最大的移动网络宽带业务运营商，近期，作者发现Globe Telecom旗下的积分优惠APP应用Globe Rewards竟然采用了HTTP协议来明文传输用户数据...

作者：掌控安全-veekXSS基础跨站脚本（英语：Cross-site scripting，通常简称为：XSS）是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观...

一、涉及的基本原理蓝牙信道有两种通信信道：广播信道和数据信道（advertising channels and data channels）,对应的通道如下图，其中广播信道只使用37，38，39这三个通道。数据信道共包含37个...

全球动态1. 谷歌商城仍有不少应用没有跟进修复Play Core Library漏洞近日谷歌对存在于 Google Play Core Library 中的安全漏洞进行了修复，不过由于应用开发者尚未完全跟进，意味着依然有不少应...

需求之前的burpsuite只能拦截http相关的应用流量，对于tcp方面的流量就不能做到很好的拦截，而且对于非https的tcp流量没法很好的做到http tunnel转发，导致某些需要tcp事先验证的程序无法抓http...

在这个时代，Web 和移动应用程序通常是由 RESTful 网络服务提供支持的。 公共和私有 API 在互联网上非常普遍，测试这些 API 绝非易事，但有一些工具可以帮助你。 虽然(通常用与渗透测试)工具不...

全球动态1. 数十名记者iPhone遭到NSO“零次点击”间谍攻击据外媒TechCrunch报道，公民实验室(Citizen Lab)的研究人员表示，他们发现有证据表明，数十名记者的iPhone秘密被间谍软件攻击，据悉，...