怎么在eclipse 中建立一个xss模拟测试
新建安卓项目还需要用到一个插件:ADT插件弄好之后window-prefrences-android-SDKlocation选择到你sdk的目录。ADT和SDK的版本需要配套。事先看好你的SDK版本,再取下载相应的ADT插件SDK下载:android.com/sdk/index.html"target="_blank"
xss攻击使用application/json请求有用么
content-type application/json 请求 服务端怎么获取请求数据 在Android/java平台上实现POST一个json数据: JSONObject jsonObj = new JSONObject(); jsonObj.put("username", username); jsonObj.put("apikey", apikey); /
苹果和微软没有开源,Linux 和 Android 开源,为什么前者几乎没听说...
五个方面
1.权限策略
比如ios使用的是沙盒模式,权限管的很死,所以难有病毒和后门。
2.市场占有率
mac os和linux这种市场占有率,搞病毒木马不太划算啊。
3.黑客的行为
windows是主流,必须使劲搞,而且win都是客户机,下木马方便慢慢剥削~
linux主要是服务器,没必要搞木马,直接入侵提权即可!
至于mac os,还是算了吧,那部分用户少就算了,还不玩游戏,号都盗不了 我puei~
4.系统本身的问题
早期的win和配套的安全软件做的确实有问题,
尤其是底层漏洞导致的蠕虫,让人感觉病毒满天飞。
至于win的服务器,权限和策略的设置太麻烦,你们玩不溜...
5.用户的主观感受
有很多盗号什么的,其实和系统没关系,比如被钓鱼xss之类。
但是由于用户是使用win的,那就是win的错!
Android Studio的JVM内存不足问题怎么解决
找到Eclipse安装文件下的eclipse.ini配置文件
通常里面都是写的-vmargs-Xms40m-Xmx256m
-vmargs:说明后面是VM的参数
-Xms40m:虚拟机占用系统的最小内存
Xmx256m:虚拟机占用系统的最大内存
-XX:PermSize:最小堆大小.一般报内存不足时,都是说这个太小,堆空间剩余小于5%就会警告,建议把这个稍微设大一点,不过要视自己机器内存大小来设置-XX:PermSize:最大堆大小.这个也适当大些,另外把里面的参数改为:
-vmargs
-Xms128M
-Xmx512M
-XX:PermSize=128M
-XX:MaxPermSize=256M
1、设置Eclipse内存使用情况
修改eclipse根目录下的eclipse.ini文件
-vmargs //虚拟机设置
-Xms40m
-Xmx256m
-XX:PermSize=128M //非堆内存设置
-XX:MaxPermSize=256M
2、JVM内存设置
打开eclipse window-preferences-Java -Installed JREs -Edit -Default VM Arguments 在VM自变量中输入:-Xmx128m -Xms64m -Xmn32m -Xss16m3, Tomcat内存设置
打开Tomcat根目录下的bin文件夹,编辑catalina.bat 修改为:set JAVA_OPTS= -Xms256m -Xmx512m下面是这几个设置的一些背景知识:
1 堆(Heap)和非堆(Non- heap)内存
按照官方的说法:“Java 虚拟机具有一个堆,堆是运行时数据区域,所有类实例和数组的内存均从此处分配。堆是在 Java 虚拟机启动时创建的。”“在JVM中堆之外的内存称为非堆内存(Non-heap memory)”。可以看出JVM主要管理两种类型的内存:堆和非堆。简单来说堆就是Java代码可及的内存,是留给开发人员使用的;非堆就是JVM留给 自己用的,所以方法区、JVM内部处理或优化所需的内存(如JIT编译后的代码缓存)、每个类结构(如运行时常数池、字段和方法数据)以及方法和构造方法 的代码都在非堆内存中。 2 堆内存分配
JVM初始分配的内存由-Xms指定,默认是物理内存的1/64;JVM最大分配的内存由-Xmx指定,默认是物理内存的1/4。默认空余堆内存 小于 40%时,JVM就会增大堆直到-Xmx的最大限制;空余堆内存大于70%时,JVM会减少堆直到-Xms的最小限制。因此服务器一般设置-Xms、 -Xmx相等以避免在每次GC 后调整堆的大小。
3、非堆内存分配
JVM使用-XX:PermSize设置非堆内存初始值,默认是物理内存的1/64;由XX:MaxPermSize设置最大非堆内存的大小,默认是物理内存的1/4。
4、JVM内存限制(最大值)
首先JVM内存首先受限于实际的最大物理内存,假设物理内存无限大的话,JVM内存的最大值跟操作系统有很大的关系。简单的说就32位处理器虽然 可控内存空间有4GB,但是具体的操作系统会给一个限制,这个限制一般是2GB-3GB(一般来说Windows系统下为1.5G-2G,Linux系统 下为 2G-3G),而64bit以上的处理器就不会有限制了
为什么我说 Android 很糟糕
Android 的安全问题一直被吐槽,包括不安全的APP市场、上次的远程命令执行漏洞、还有它的权限机制,总之一团糟,这些还是可以忍的,APP市场总是在规范化,大的漏洞很快就会被应急,权限问题也在慢慢改善。
今天要说的是一个 Android 下很有生命力的漏洞,刚刚提到的远程命里执行漏洞也是把所有涉及到浏览器的应用给走了一遍,包括 QQ、微博、UC浏览器,这次要说的也是关于浏览器的漏洞,叫 UXSS。
首先科普下 UXSS 和 WebView
通俗的说下
UXSS:当你访问 A 网站的时候A网站可以跨域获取你在 B 网站的一切信息。
WebView:安卓浏览器的浏览器组件,做网页展示都需要用到它。
他们是什么关系呢?
Webview 的底层的是 webkit,但是是比较老的 webkit。
这就出现一个问题, 大家用老版本的东西的时候可能是想着稳定性,还要注意一点的就是安全性,漏洞补丁往往是随着应用升级一起发布的。
老版本的 webkit 存在大量的已披露 UXSS 漏洞(即 POC 公开)。
再说说 UXSS 的攻击流程
正常情况下我们会访问各种各样的网站,比如我常上的网站是知乎和乌云。
如果有一天,邪恶的剑心想通过 UXSS 漏洞攻击我的知乎账户,那么他只要在乌云的网站中插入一段 JS 执行 UXSS 漏洞代码即可劫持我知乎账户的 session。
正常用户==request== wooyun.org
http://wooyun.org ==script exec == uxss.js
uxss.js ==bypass SOP== zhihu.com
done,session get!
不只是浏览器,还包括 微信、QQ、微博等所有涉及网页浏览的应用。
手机QQ安卓版两处跨域问题
上面这个漏洞,可以直接在任意一个网页中插入上面漏洞的代码,发给好友 URL,就可以获得她的QQ权限。
UC浏览器Android最新版(4.4)跨域漏洞(不受系统版本限制)
再看来这个,是浏览器的,平时我们会使用手机浏览器登陆很多网站,这样更有利于攻击,可以直接一次攻击获得你所有登陆过的网站的身份。
还有很多,这些都是由于 webkit 版本低造成的。
reactnative android怎么调用第三方sdk
首先安装cocopods(类似于npm,ios开发的依赖管理工具,教程:
在ios根目录下创建Podfile文件,添加如下代码(使用的是百川feedback1.1.1版本),然后执行pod install命令
target ‘Xss’ do
pod 'YWFeedbackFMWK', '~ 1.1.1'
end