最近在搞公司的安卓APP测试(ThinkDrive 企邮云网盘)测试,安卓app测试时使用代理抓包,发现所此app使用HTTP传输账号密码,且密码只是普通MD5加密,存在安全隐患,无法防止sniffer攻击.中间人攻击(因此这次安全问题,加强对这两安全术语的了解): 问题1:账号密码采用http传输,账号与密码(MD5值)均可以捕获: 问题2:密码虽采用MD5加密,简单密码可以在线解密: 问题3:密码不解密也一样可以登录,通过A账号在app登录,再用sniffer得到的B 帐号与…

利用SharedPreferences完成记住账号密码的功能 效果图: 记住密码后,再次登录就会出现账号密码,否则没有. 分析: SharedPreferences可将数据存储到本地的配置文件中 SharedPreferences会记录CheckBox的状态,如果CheckBox被选,则将配置文件中记录的账号密码信息回馈给账号密码控件,否则清空. SharedPreferences使用方法: 1.创建名为config的配置文件,并且私有 private SharedPreferences con…

archive成功了,但是在输出ipa时要求有账号密码 可以通过命令行方式输出,绕开账号检查1.进入Windows-Organizer-Archives,找到要输出的scarchive列表项:2.右键点击它,选择[Show in Finder]:3.右键点击.xcarchive文件,选择[显示包内容]:4.依次进入子目录 Products-Applications-找到你的目标文件,它其实是一个.app文件(目录):5.使用Go2Shell打开终端,进入该文件所在的目录:(也可以手动cd进入)6…

MVC记住账号密码 使用cookie操作 前端: <div> 用户名:<input type="text" id="UserName" value="@ViewBag.UserName"/> </div> <div>    密码:<input type="text" id="UserPwd" value="@ViewBag.UserPwd&qu…

php 加密 解密 密码传输 <?php /* * * 使用按位异或运算 加密 * $str 明文 * $salt 盐 * */ public static function xor_encrypt($str,$salt = 'app') { $key = sha1($salt); $result = base64_encode($str ^ $key); return $result; } /* * * 使用按位异或运算 解密 * $encrypt_str 密文 * $salt 盐 * */…

前言 回家时买了一台极路由准备换掉家里老掉牙的阿里路由器,想进后台看一下宽带账号密码,咦???后台密码是什么来着??? 我陷入了沉思,家里的路由器一般都是pppoe拨号,而路由器在与pppoe认证服务器通过LCP协商好认证方法进行后,极可能会明文传输宽带账号和密码,那我们能不能本地搭建pppoe认证服务器并且路由器wan口连接本地网卡,wireshark抓取宽带账号密码呢?说干就干. pppoe工作原理 PPPoE协议的工作流程包含发现和会话两个阶段,发现阶段是无状态的,目的是获得PPPoE终结…

说到APP手势密码绕过的问题,大家可能有些从来没接触过,或者接触过,但是思路也就停留在那几个点上,这里我总结了我这1年来白帽子生涯当中所挖掘的关于这方面的思路,有些是网上已经有的,有些是我自己不断摸索所发现的. 这里说下APP手势密码绕过的危害,手势密码一般应用在支付类,金融类,安全类等相关的APP,比如XX金融,XX支付,XX钱包,XX安全中心等APP,这些基本都会有手势密码,手势密码是一个用户的第一把APP锁,如果这个锁攻破了,那么后面也就容易对用户造成威胁,虽然这个问题利用起来是需要物理操…

之前写的文章收到了很多的好评,主要就是帮助到了大家学习到了新的思路.自从发布了第一篇文章,我就开始筹备第二篇文章了,最终打算在07v8首发,这篇文章我可以保障大家能够学习到很多思路.之前想准备例子视频,请求了很多家厂商进行授权,但是涉及漏洞信息方面的,厂商都是很严谨的,所以,整个过程没有相关的实际例子,但是我尽可能的用详细的描述让大家能够看得懂.大家不要睡着呦~ 说到APP手势密码绕过的问题,大家可能有些从来没接触过,或者接触过,但是思路也就停留在那几个点上,这里我总结了我这1年来白帽子生涯当中…

名词解释 802.1X: IEEE802 LAN/WAN 委员会为解决无线局域网网络安全问题,提出了 802.1X 协议.后来,802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题.802.1X 协议是一种基于端口的网络接入控制协议(port based network access control protocol)."基于端口的网络接入控制"是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制.连接在端口上的用户…

靶场内容: 此实验室允许用户在关闭浏览器会话后仍保持登录状态.用于提供此功能的 cookie 容易受到暴力破解. 为了解决实验室问题,暴力破解 Carlos 的 cookie 以访问他的"我的帐户"页面. 您的凭据: wiener:peter 受害者用户名: carlos 候选人密码 漏洞分析: 这是一个典型的Cookie分析然后修改爆破账号密码的漏洞 我们输入正确的账号密码wiener和peter,登入,截取登入的数据包,发现有一个长文Cookie 对Cookie进行base64的解…