-
关于 JD 商城,PC 网页登录使用明文传输用户名和密码的问题。 at 2016年03月09日
估计是那个前端脑残了。开了调试
-
这应该是目前最系统的 Android 界面性能调优资料了 at 2016年03月08日
-
AppiumFindByImage at 2016年03月08日
这类图像识别的效率是个大问题。
-
Android 安全专项-Xposed 劫持用户名密码实践 at 2016年03月05日
#14 楼 @doctorq 说的像是动态调试? http://www.kanxue.com/bbs/showthread.php?t=195202
另外 基于 xposed 的 zjdroid 也有类似功能了 http://bbs.pediy.com/showthread.php?p=1303746 -
Android 安全专项-Xposed 劫持用户名密码实践 at 2016年03月04日
现在怎么多重金招 android root 挖掘权限的。说到底无非是 root 可以拿用户数据,用户数据就是钱!
-
Android 安全专项-Xposed 劫持用户名密码实践 at 2016年03月04日
高端.
所以自己手机万不可 root...
业内已经有人用 xposed 搞微信红包了,提前看其他人领了多少.. 用到赌博的黑产里了。听说都赚了 1000w 了.. -
App 自动遍历工具初版 at 2016年03月04日
#114 楼 @seveniruby 这个工具怎么配来调插件?
录屏好像 5.0 以上 google 有 api 接口了。4.x 的都还得先 root。感觉更重量了
-
App 自动遍历工具初版 at 2016年03月03日
#112 楼 @seveniruby
找到一个持续截图的 lib 。
https://github.com/rtyley/android-screenshot-lib -
App 自动遍历工具初版 at 2016年03月03日
#105 楼 @seveniruby THX 问题已经搞定了。 还是控件的唯一性的问题。 defineUrl 定义的标签在 messageedittext 的页面里不存在 ,所以第二次执行时按重复的也就没执行到。。。
另外试用过程中 貌似觉得 截图的速度似乎是有些瓶颈的。
-
App 自动遍历工具初版 at 2016年03月02日
#102 楼 貌似存在一个问题, firstlist,selectedlist, 和 elementActions 中的配置没有按先后顺序遍历组件。
比如发消息 elementActions 中写 messageedittext 和 sendButtion , 测试过程中出现过 前找到 sendbuttion 而后才 messageedittext,而预期应该是 反过来。 -
App 自动遍历工具初版 at 2016年03月01日
@seveniruby
"
控件的唯一性取决于这个 url 和控件自身的 id name tag text loc 等属性.
比如一个输入框 id=input, 在多个页面中都出现了.
如果 url 为空, 那么它只会被点击一次.
如果 url 设置为当前 activiy 的名字, 那么有多少页面包含它他就会被点击多少次."思寒 这个规则能否再说明下。确实没看明白..
-
App 自动遍历工具初版 at 2016年02月29日
- 保存的图片打不开,提示 not a jpeg file: starts with 0x89 0x50 ---我用的 ubentu14
google 了下查到这个结果:
ubuntu 圖片瀏覽器打開提示
Not a JPEG file: starts with 0x89 0x50
經查明發現是程式里 create 的是 PNG 格式,輸出保存成了 jpg 造成的 -
App 自动遍历工具初版 at 2016年02月29日
@seveniruby
我们这有个直播类 app,试了下遍历。遇到了如下问题,帮看看哈?- 保存的图片打不开,提示 not a jpeg file: starts with 0x89 0x50 ---我用的 ubentu14
- 开头进入直播间会遍历的点一点,但之后再进入其他直播间 仅做了下进入房间,然后就退出了,看 log 都会打印 find back button error
-
[讨论] socket 接口测试如何绑定端口号?长连接模式? at 2016年02月22日
确定 server 支持长连接可以按你想的试试。
定时发心跳,一般发的心跳数据得满足定义的协议;否则 server 自检验是异常数据会主动踢掉。 -
gor 引流快速入门 at 2016年02月22日
gor 之前搞过。可以利用 middleware 搞定 token 这类动态数据。
但抓取流量时会对线上业务性能有些影响;
感觉更适合验证服务器迁移 -
App 自动遍历工具初版 at 2016年02月18日
ui 遍历 这个赞赞赞。
目前可否遍历 webview?
-
Fake API 工具:interfake 快速入门 at 2016年02月16日
#1 楼 @chenhengjie123 好像有个叫 mock server 的工具 能满足这个需求。记得是在 fiddle 基础上写的。
-
“京东钱包” 体验报告 at 2016年02月04日
#15 楼 @lihuazhang 貌似主体是有混淆的。 不过捆了些 sdk 是没带混淆
-
初识 APP 安全性测试 at 2016年01月21日
用户信息都明文保存了。。。
目测这个 app 洞很多 -
第三方支付的一些安全测试总结 at 2016年01月21日
妹子几个月后终于发出来了。哈
一般支付不会是 明文传输,太 low 了,正规点的都 id 串 +token ,加密 和 https, server 端进行校验。
另外加密的过程放 so 库,代码混淆 + 加固 + 反调试以增加反编译的成本。这些应该 测支付宝微信支付的同学们更有发言权的~
-
从 0 到 1 构建美团压测工具 [转载] at 2016年01月15日
这个 vcr 貌似看上去和 开源的 gor 很像啊。 不知道是否可处理 token
-
[Burp Suite & Charles ] 双向认证 HTTPS 抓包 at 2016年01月08日
... 中间人的证书就是伪造的。 如果能随便拿到 ca 颁发的证书那成什么了...
遇到 ssl 劫持 没有弹出安全风险的警告的话 可以报个 ssl 欺骗风险 备忘 bug
-
[Burp Suite & Charles ] 双向认证 HTTPS 抓包 at 2016年01月07日
恩 ssl 欺骗大致就是这样。burp 实际就是中间件,伪造了 ssl 证书。 虽然可以欺骗,但伪造的证书毕竟不是 ca 发布的 过不了证书校验这关,所以才有提示需要用户去点继续。 当然咱们测试的自然是能抓到就行其他无所谓了
-
小菜的性能日记 4 (合格的性能测试报告) at 2016年01月06日
赞,这个例子举得好。确实碰到过。
-
小菜的性能日记 2 (并发用户?并发请求?) at 2015年12月17日
仔细读,品一品,期待第三篇