同形字Homoglyph Attack

同形字就是一些形状相似但含义不同的字符,常用来钓鱼,替换网址中的字符,达到欺骗效果。例如6sɑn.com浏览器访问时解析为http://xn--6sn-hsb.com/,仿冒的网址里加入代码跳转官方网址,利用跳转前的几秒做文章。

部分同形字替换后仍可以正常访问,如:6ˢAn。cºM,这个就可以用来绕过聊天窗口的危险网站标识。

Continue reading »

android_secret_code拨号事件

智能机内部都存在一些隐藏代码,例如,Android拨号键盘输入类似*#*#4636#*#*字符执行对应操作,这个功能在Android中被称为android secret code,除了系统预置的secret code,第三方app也可以实现自己的secret code,AndroidManifest.xml中有如下内容表示支持android的拨号事件:

Continue reading »

adb远程连接Android设备

adb connect 192.168.1.63:5555 //adb远程连接调试设备

adb远程连接调试设备,使用TCP协议,因此需要先设置TCP端口,可以在文件init.rc中设置,或者Android手机端使用如下命令:
# setprop service.adb.tcp.port 5555 // TCP端口5555

//重启手机上的ADB服务
# stop adbd

Continue reading »

验证码测试点

验证码是保障系统安全的一道屏障,常见的验证码有图片、手机短信等多种形式。 系统使用类似卡号、学号可以规则生成的userID,或者可以被收集的邮箱账号,验证码被绕过后,就可以使用弱密码逐个撞账号。 客户端 客户端生成验证码只在客户端验证,模拟post请求即可直接绕过验证。 验证码输出到客户端,例如验证码输出在cookie、html、js中,检查字段属性、图片名等排查 服务端: 1.验证码不过期,没有

Continue reading »