社区 › 安全 › WEB攻防-业务设计篇&隐私合规检测&资源拒绝服务&配合项目

刃减胸 发表于 2025-12-30 03:50:09

WEB攻防-业务设计篇&隐私合规检测&资源拒绝服务&配合项目

WEB攻防-业务设计篇&隐私合规检测&资源拒绝服务&配合项目

知识点：

隐私合规-判断规则&检测项目
资源拒绝服务-加载受控&处理受控
一、演示案例-隐私合规-管理规定&检测分析&项目平台

对象：APP和小程序等
当APP、小程序在运行的时候，如果需要获取相关权限（例如位置、相册、通讯录等等），需要以弹窗的形式询问用户的意见，用户有权同意或者拒绝。如果不通知用户就非法获取这些权限，就属于违规
参考资料：

https://mp.weixin.qq.com/s/SfCIx0mNxn_PDfXP_5SfOQ
检测项目：

AppScan下载地址：https://github.com/TongchengOpenSource/AppScan
被测试手机必须开启root权限，设置ADB调试为‘开启本地连接’
手机连接该appscan程序


此工具是动态调试


就是一边在手机上操作APP，一边看工具上给到的结果，看APP上有没有针对性提示用户
在线检测平台：

参考文章：
https://mp.weixin.qq.com/s/SfCIx0mNxn_PDfXP_5SfOQ
二、演示案例-资源拒绝服务-加载受控&处理受控

1、验证码或土坯那显示自定义大小


图片可以自定义长宽值，可能造成拒绝服务
2、上传压缩包解压循环资源占用（压缩包炸弹）

简单来说就是这个压缩包是经过非常多次的压缩后生成的压缩包

这是一个存在解压拒绝服务的脚本如果这个42.zip攻击者可控，上传到服务器，在访问这个脚本，这个脚本就会尝试解压42.zip，而42.zip里就是无限套娃压缩包，就会一直解压



来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

寥唏 发表于 2026-1-14 13:42:57

懂技术并乐意极积无私分享的人越来越少。珍惜

焦听云 发表于 2026-1-15 07:11:15

过来提前占个楼

郦珠雨 发表于 2026-1-16 11:18:45

鼓励转贴优秀软件安全工具和文档！

东郭欣然 发表于 2026-1-21 08:15:05

谢谢楼主提供！

眩疝诺 发表于 2026-1-24 06:36:41

东西不错很实用谢谢分享

诘琅 发表于 2026-1-24 11:26:39

感谢分享，下载保存了，貌似很强大

幽淆 发表于 2026-1-24 16:31:23

分享、互助 让互联网精神温暖你我

谲脾 发表于 2026-2-4 08:34:28

这个有用。

兼罔 发表于 2026-2-7 04:45:02

感谢分享

上官泰 发表于 2026-2-8 13:23:42

前排留名，哈哈哈

嫁蝇 发表于 2026-2-8 19:32:21

感谢，下载保存了

厥轧匠 发表于 2026-2-9 15:31:29

感谢，下载保存了

嘀荼酴 发表于 2026-2-10 08:48:11

不错，里面软件多更新就更好了

庾芷秋 发表于 2026-2-10 17:00:39

新版吗？好像是停更了吧。

表弊捞 发表于 2026-2-11 00:46:29

东西不错很实用谢谢分享

劳暄美 发表于 2026-2-11 01:31:24

热心回复！

第璋胁 发表于 2026-2-12 13:09:35

这个有用。

梁丘艷蕙 发表于 2026-2-13 16:51:18

分享、互助 让互联网精神温暖你我

明思义 发表于 2026-2-25 18:02:43

感谢，下载保存了

查看完整版本: WEB攻防-业务设计篇&隐私合规检测&资源拒绝服务&配合项目