blog

隐私合规：告知用户本app装在用户设备上，需要什么权限，需要告知用户扫描平台：https://pnc.vivo.com.cn/ 工具推荐：https://github.com/TongchengOpenSource/AppScan

FUZZ技术 FUZZ：模糊测试，是一种基于黑盒的自动化软件模糊测试技术,简单的说一种懒惰且暴力的技术融合了常见的以及精心构建的数据文本进行网站、软件安全性测试，就是通过爆破找一些看不到的漏洞点字典网站

图片验证码推荐python库：https://github.com/sml2h3/ddddocr 简单识别，配合爆破：https://github.com/smxiazi/NEW_xp_CAPTCHA

什么是OAuth OAuth是一种常见的授权框架，它允许网站请求另一个应用程序上的用户帐户的权限，例如允许使用QQ，微信登录等，这样的网站可能就使用了OAuth框架类型

越权分两种：垂直越权，水平越权垂直越权配置文件中修改用户角色请求参数控制用户id，"rolied":2 用户角色由请求参数控制，admin:true 用户 id 由请求参数控制，id=admin

篡改参数商品ID，数量，价格，属性，优惠券，积分 id,数量，价格直接抓包，更改相关字段尝试，例如price，qlt...... 优惠券主要是找到报文中有关使用了优惠券的字段，例如：use_coupon=0，就可以尝试改成1 积分积分兑换上思路就更加开放，充分利用数学逻辑，挖掘可能存在的漏洞