业务安全，按照百度百科的解释：业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台（操作系统、数据库等）、业务系统自身（软件或设备）、业务所提供的服务的安全；狭义的业务安全指业务系统自有的软件与服务的安全。

AppUse的核心是一个自定义的"hostile"安卓ROM，为应用程序的安全性测试特别打造的包含一个基于定制模拟器的运行时环境。使用rootkit-like技术，许多钩子注入到其执行引擎的核心之中，以便能够方便地操纵应用，通过"ReFrameworker"来观察。

• 4.1  主动式（全自动 ）：Web2.0、交互式漏洞扫描 
• 4.2  半自动式漏洞分析：业务重放、url镜像，实现高覆盖度 
• 4.3  被动式漏洞分析：应对0Day和孤岛页面

最近整理密码找回的脑图，翻开收集的案例，又出现了一些新的情况，这里一并将所有见到的案例总结并分享给大家，在测试时可根据这个框架挖掘！

Whatscat是一个可以上传猫咪的照片并且可以评论的php应用，地址：

https://blogdata.skullsecurity.org/whatscat.tar.bz2

漏洞代码存在于login.php的密码重置模块，如下：

以前看了一片密码找回漏洞的总结，现在又看到了一些新的情况，写出来补充一下。

链接：密码找回功能可能存在的问题

看了各种文章讲神器mimikatz，但是一直没有讲与metasploit使用的。Metasploit其实早就集成了mimikatz，现在将官方的文章翻译给大家。

Mimikatz是Benjamin Delpy (gentilkiwi)写的非常棒的一款后渗透测试工具。在最初渗透阶段之后的大多数时间里，攻击者们可能是想在计算机/网络中得到一个更坚固的立足点。这样做通常需要一组补充的工具。Mimikatz是一种将攻击者想执行的、最有用的任务捆绑在一起的尝试。