摘要： 1、认证 1.1、 认证和密码管理安全规则 1 认证控制必须只能在服务器端执行。 2 除了指定为公开的资源，对所有其它资源的访问都必须先经过认证。 ... 阅读全文

摘要： 读后感：物联网真正到来的时候对网络安全将产生极大挑战，将来感知层设备已不仅仅是一个简单的嵌入式设备了，而是作为性能强劲的主机存在，但这些设备的安全防护显然是不能跟我们使用的主机相比的，当散落在网络上的强大智能硬件设备被大量入侵和控制的时候，就可以进行各种分布式攻击，比如本文提到的DDOS，还有分布式... 阅读全文

摘要： 视频广场分享在删除分享或删除设备时未立即停止断流，可导致用户隐私泄漏【高】 问题描述： 用户在删除分享或删除设备时，查看分享的视频的用户如果不刷新页面，那么视频流不会停止，即还可以继续观看该被取消分享或删除的视频。 测试步骤： 1、 使用账户A为设备A创建视频广场分享。注：设备A是账户A的设备。 2、 使用账户B登录并... 阅读全文

摘要： 业务逻辑漏洞是跟业务自身强相关的，必须结合业务本身进行分析。 视频广场存在业务逻辑等漏洞，可导致用户隐私泄漏【高】 问题描述： 经测试，视频广场存在如下漏洞： 1、 被进行好友分享的设备可以被好友进行广场分享，可导致用户隐私泄漏。 2、 发表评论和进行回复时未限制次数和频率，可利用进行恶意刷屏或灌水。 测试步骤： ... 阅读全文