数字证书及其在安全测试中的应用

做Web层面的安全测试,免不了要做中间人代理来截包分析。常用的工具有BurpSuit,Fiddker,Charles等等。关于这些工具的用法网上已经有很多介绍,这里就不赘述了。然而在测试一些安全性高的站点时,往往会遇到SSL通信的问题。这里对这些数字证书的问题进行一个小结,欢迎拍砖交流。
Continue reading “数字证书及其在安全测试中的应用”

JSP版LCX:端口转发工具 KPortTran

最近接触内网很多,渗透过程中,由于windows和linux的差别以及运行语言环境的限制导致端口转发经常出现问题。于是自己写了个简单的JSP的端口转发脚本。仿造LCX的功能,具有正向、反向、监听三种模式。对于目前数量众多的JAVA WEB网站来说,可以比较方便的实现端口转发。

在这里发布出来,小伙伴们使用过程中,如果发现什么bug欢迎提交~

Continue reading “JSP版LCX:端口转发工具 KPortTran”

安卓WebView控件接口中的命令执行

0x01 背景
Android和IOS均支持WebView技术,封装了浏览器的基本功能,也即是在应用中嵌入了一个简单的浏览器。WebView除了显示页面之外也可以执行js代码,并且应用可以通过一些接口与js代码进行交互,js代码也可以调用这些接口,也就是调用应用的Java或者Object C代码。Android中WebView提供了一个addJavascriptInterface,将Java对象与一个JS对象联系起来。通过js代码就可能调用java代码等实现命令执行。
Continue reading “安卓WebView控件接口中的命令执行”