问题描述
我正在研究使用Java ULC(超轻客户端)创建的胖客户端应用程序的安全性评估。这是黑匣子方法,因此我对源代码没有任何见识,而且很难在互联网上找到任何有关ULC的有用资源。
到目前为止,我编写了一个代理来拦截具有二进制有效载荷的HTTP GET / POST通信。当我解压缩有效载荷并将二进制转换为十六进制,然后将十六进制转换为ascii时,我可以看到诸如明文用户名,密码之类的字符串,以及诸如java.lang.Object,setColumnClasses之类的一些关键字以及一堆空字节和不可打印的字符。响应中还包含以下字符串:我可用于测试的用户名或密码错误。
是否使用哪种协议进行通信?是否有某种RFC?这不是经典的Java序列化,因为开头没有\ xac \ xde。我想做的是即时修改流量,因此可以注入各种sql注入尝试并测试后端数据库来代替用户名。
谢谢!
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)