2014年12月28日
摘要: 某流媒体协议应急响应事件回放 1、背景: 2014的X月Z号,我收到公司信息安全委员会的一封邮件,说收到了一封来自老外的Email,Email里面描述到我们的传统行业设备存在一些安全问题,并在他们公司的官网上发布了相关的信息,之后我瞧了一下他们的分析报告,才刚看一小段我就已经明白一切了,理由是,在2014的X月Z-9号的时候,我们自己内部也已经发现了此漏洞,在互联网设备上已经... 阅读全文
posted @ 2014-12-28 16:31 Fish_Ou 阅读(291) 评论(0) 推荐(0) 编辑
摘要: 运动型摄像机风险分析与防范 1、简介: 运动相机是几乎户外极限运动爱好者的必备,就世界范围而言,Google的GoPro无疑最具代表性,GoPro相机是一款小型可携带固定式防水防震相机。GoPro的相机现已被冲浪、滑雪、极限自行车及跳伞等极限运动团体广泛运用,因而“GoPro”也几乎成为“极限运动专用相机”的代名词。 当然,这篇文章并不是来分析GoPro安... 阅读全文
posted @ 2014-12-28 14:48 Fish_Ou 阅读(702) 评论(0) 推荐(0) 编辑
摘要: 给运维小组培训的NTP反射型DDOS攻击的PPT 阅读全文
posted @ 2014-12-28 11:15 Fish_Ou 阅读(504) 评论(0) 推荐(0) 编辑
摘要: 偶平时在做安全测试时,一般是以发现问题为主,点到为止,但做安全的同学可能也遇到过这样的问题,当你尝试向开发的同学描述一个漏洞危害怎么怎么样的时候,双方经常会有一种鸡同鸭讲的感觉,甚至他们觉得我们在夸大其词去影响他们去修复,其实面对开发的同学的质疑,我也觉得合理,毕竟你用XSS去弹个框,能说明什么呢?... 阅读全文
posted @ 2014-12-28 10:50 Fish_Ou 阅读(3681) 评论(0) 推荐(0) 编辑
摘要: YS VTM模块存在缓冲区溢出漏洞,可导致VTM进程异常退出【高】问题描述: YS VTM模块开放对外监听端口(8554和8664),并从外部接收网络数据,中间模块调用到memcpy函数对网络数据进行拷贝,但该模块未正确对拷贝字节数进行判断,在使用Nessus对该模块进行扫描并传入超长字符串时会发生... 阅读全文
posted @ 2014-12-28 10:13 Fish_Ou 阅读(1032) 评论(0) 推荐(0) 编辑
摘要: YS android手机APP对外开放多余的content provider,可任意增、删、改和查images数据库表格,导致隐私泄露问题描述: YS android手机APP使用SQLITE数据库做数据存储,在android系统上可以通过content provider实现对SQLITE数据库的操... 阅读全文
posted @ 2014-12-28 10:03 Fish_Ou 阅读(838) 评论(0) 推荐(0) 编辑