WEB攻防-业务设计篇&隐私合规检测&资源拒绝服务&配合项目
知识点:
隐私合规-判断规则&检测项目
资源拒绝服务-加载受控&处理受控
一、演示案例-隐私合规-管理规定&检测分析&项目平台
对象:APP和小程序等
当APP、小程序在运行的时候,如果需要获取相关权限(例如位置、相册、通讯录等等),需要以弹窗的形式询问用户的意见,用户有权同意或者拒绝。如果不通知用户就非法获取这些权限,就属于违规
参考资料:
https://mp.weixin.qq.com/s/SfCIx0mNxn_PDfXP_5SfOQ
检测项目:
AppScan下载地址:https://github.com/TongchengOpenSource/AppScan
被测试手机必须开启root权限,设置ADB调试为‘开启本地连接’
手机连接该appscan程序
此工具是动态调试
就是一边在手机上操作APP,一边看工具上给到的结果,看APP上有没有针对性提示用户
在线检测平台:
参考文章:
https://mp.weixin.qq.com/s/SfCIx0mNxn_PDfXP_5SfOQ
二、演示案例-资源拒绝服务-加载受控&处理受控
1、验证码或土坯那显示自定义大小
图片可以自定义长宽值,可能造成拒绝服务
2、上传压缩包解压循环资源占用(压缩包炸弹)
简单来说就是这个压缩包是经过非常多次的压缩后生成的压缩包
这是一个存在解压拒绝服务的脚本如果这个42.zip攻击者可控,上传到服务器,在访问这个脚本,这个脚本就会尝试解压42.zip,而42.zip里就是无限套娃压缩包,就会一直解压
