摘要： 在项目中，YS私有协议用到多播技术，在验证其安全特性时用到python去发送多播包，在此做个记录。 多播服务器用于向多播组发送多播数据包，其实现代码如下： #coding:utf-8, import socket import time ANY = '0.0.0.0' SENDERPORT=1501 MCAST_ADDR = '224.168.2.... 阅读全文

摘要： YS 视频封面设置功能可上传大量图片，可进行资源消耗型DOS攻击【中】 问题描述： YS允许用户为设备设置封面，后台在处理时允许用户间接可控上传图片的二级路径以及直接可控保存图片的文件名，相当于用户可以受限地去控制图片上传的路径，而在用户上传新设备封面时又未删除旧的封面图片，导致用户可以往后台不停地发送封面图片，进而耗尽资源，经测试，单个用户最... 阅读全文

摘要： 1、背景： YS私有通信是hk研发的一款用于探测或设置hk设备的设备网络搜索软件，其基于hk的私有多播或广播协议实现。由于其自身拥有和hk同样长久的历史，早期在设计时未考虑到安全性因素，导致该协议存在被攻击的风险。 2、威胁分析： 2.1、攻击手段： （1）、嗅探： 由于YS私有通信协议是基于明文传输的，当用户使用支持YS私有通信协议的客户端和设备通信时，处于同一个局域... 阅读全文