写在前面： 渗透测试包含但不限于Web安全 渗透测试并不相当于Web渗透 Web安全学习是入门渗透测试最容易的途径，门槛最低 Web安全入门： 基础入门 整体框架 SQL注入 XSS攻击 业务逻辑漏洞 代码审计 安全编程 如何学习（学习 ...

一、 安卓应用攻击概览 1. 安卓应用简介 根据开发方式的不同，安卓应用大致分为三种。Web应用、原生应用、混合应用 Web应用 Web应用是通过使用JavaS ...

一、 实验环境搭建 1. 安装JDK 2. 安装Android Studio 3. 模拟器或真机 我的是夜神模拟器和nexus 工具 A ...

一、常规测试 VS 安全测试 常规测试 安全测试 1.目标差异 常规测试以发现Bug为目标 安全测试以发现安全隐患为目标 2.假设条件差异 ...

Access数据库注入： access数据库由微软发布的关系型数据库（小型的），安全性差。 access数据库后缀名位*.mdb， asp中连接字符串应用—— “Driver={microsoft access driver(*.mdb)};dbq=*.mdb;uid=admin ...

xss概念：xss（Cross Site Script）跨站脚本攻击，为不和层叠样式表（css）混淆，写为xss存在位置：web应用系统最常见软件安全漏洞后果：代码植入到系统页面，篡改数据、盗取系统私密数据等非法目的 常见XSS攻击方式1、往页面表单提交恶意的js脚本代码2、通过alert来攻 ...

环境配置 主机 靶机： 本地Linux服务器虚拟机 + phpstudy 攻击主机：本地 Kali 虚拟机 配置好网络让主机之间相互可以通信 数据库 数据库版本：mysql 5.5.62 开启 mysql 远程连接 ，否则攻击主机无法建立与靶机数据库连接 我是直接在小皮面板中 ...

安全测试-渗透性测试 明文传输/存储（明文包括：1.请求中存在明文数据传输。2.内存明文传输用户名和密码。3.响应数据中存在明文用户名和密码等。4.客户端反编译存在明文。明文数据直接被攻击者利用并对系统进行攻击。） 越权访问（用户未授权可以访问其他用户的敏感数据。） 敏感 ...