同源策略 定义不同源的页面之间，不准互相访问数据。这是浏览器故意设置的一个功能限制。 源window.origin 或 location.origin 可以得到当前源 浏览器规定如果 JS 运行在源 A 中，那么就只能获取源 A 的数

抓包首先我们这里的要准备一个安卓模拟器，这里我用的雷电模拟器，这个也可以用其他的模拟器可以自行选择。 在模拟器上下载微信并登录之后找到对应的⼩程序点击打开即可（因为兼容性问题，在 安卓模拟器中微信⼩程序可能会闪退，但这并不影响后续操作

分析工具：Wireshark,在线解密网站 蚁剑的流量特征 UA：antSword/v2.1 请求数据：key=(一段加密的内容) 返回数据通常为请求数据解密后执行的命令 实例：如图，根据 HTTP 流分析，U

场景 1输入法一定是安全的吗？在之前也曾曝出不少输入法搜集用户信息获取照片权限，通讯录权限，等。 试想一下当你使用某种聊天工具，在跟朋友探讨一件商品，过了一会儿，在某度，某宝，某东可能就推荐了。 发现呢是已经推送了，神奇的输入法 场

文件上传漏洞 简介文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令（webshell）的能力。文件上传在互联网应用中是很正常的需求，问题不是出现在需求上，而是在文件上传服务器后服务器如何处理、解析

跨站脚本攻击 跨站脚本攻击跨站脚本攻击（Cross-Site Scripting,XSS）是指通过存在安全漏洞的 Web 网站注册用户的浏览器内运行非法的 HTML 标签或 JavaScript 进行的一种攻击。当被攻击者登录到存在恶

钓鱼网站钓鱼网站是指欺骗用户的虚假网站。钓鱼网站的基本特征是，其界面基本与真实网站一致，充满诱导性，通过表单交互来欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站是互联网中最常碰到的一种诈骗方式，通常伪装成银行及电子商务、窃取用