寫在前面： 滲透測試包含但不限於Web安全 滲透測試並不相當於Web滲透 Web安全學習是入門滲透測試最容易的途徑，門檻最低 Web安全入門： 基礎入門 整體框架 SQL注入 XSS攻擊 業務邏輯漏洞 代碼審計 安全編程 如何學習（學習 ...

一、 安卓應用攻擊概覽 1. 安卓應用簡介 根據開發方式的不同，安卓應用大致分為三種。Web應用、原生應用、混合應用 Web應用 Web應用是通過使用JavaS ...

一、 實驗環境搭建 1. 安裝JDK 2. 安裝Android Studio 3. 模擬器或真機 我的是夜神模擬器和nexus 工具 A ...

一、常規測試 VS 安全測試 常規測試 安全測試 1.目標差異 常規測試以發現Bug為目標 安全測試以發現安全隱患為目標 2.假設條件差異 ...

Access數據庫注入： access數據庫由微軟發布的關系型數據庫（小型的），安全性差。 access數據庫后綴名位*.mdb， asp中連接字符串應用—— “Driver={microsoft access driver(*.mdb)};dbq=*.mdb;uid=admin ...

xss概念：xss（Cross Site Script）跨站腳本攻擊，為不和層疊樣式表（css）混淆，寫為xss存在位置：web應用系統最常見軟件安全漏洞后果：代碼植入到系統頁面，篡改數據、盜取系統私密數據等非法目的 常見XSS攻擊方式1、往頁面表單提交惡意的js腳本代碼2、通過alert來攻 ...

環境配置 主機 靶機： 本地Linux服務器虛擬機 + phpstudy 攻擊主機：本地 Kali 虛擬機 配置好網絡讓主機之間相互可以通信 數據庫 數據庫版本：mysql 5.5.62 開啟 mysql 遠程連接 ，否則攻擊主機無法建立與靶機數據庫連接 我是直接在小皮面板中 ...

安全測試-滲透性測試 明文傳輸/存儲（明文包括：1.請求中存在明文數據傳輸。2.內存明文傳輸用戶名和密碼。3.響應數據中存在明文用戶名和密碼等。4.客戶端反編譯存在明文。明文數據直接被攻擊者利用並對系統進行攻擊。） 越權訪問（用戶未授權可以訪問其他用戶的敏感數據。） 敏感 ...