Android证书有效性验证方案
摘要:1、前言: 1.1、SSL劫持攻击: 目前虽然很多Android APP使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息,攻击示意图如下: 2、解决方案: 2.1、服务器证书锁定: 2.1.1、简介: 服务器证书锁定的原...
阅读全文
posted @
2015-01-28 10:01
Fish_Ou
阅读(6079)
推荐(2) 编辑
信息搜集步骤
摘要:探查目标信息 1、子域名检索。 layer 2、同IP域名检索。 layer/站长工具IP反查 3、探查同IP所有web应用。 Nmap 检索web应用内容 1、手动代理+自动爬取。burp spider/awvs/... 2、字典式强制浏览。御剑扫描 3、推测式强制浏览+自动爬取。burp discover content 4、搜索url cache。 ...
阅读全文
posted @
2015-01-27 20:16
Fish_Ou
阅读(421)
推荐(0) 编辑
新型穿墙监控雷达Range-R:让你的隐私无所遁形(转)
摘要:还是隐私问题,原帖地址:http://www.freebuf.com/news/57446.html 在我们的认知中,政府对民众的监控已经成为一种常态。从电话、电子邮件到通信聊天、社交网络,一切细节都被执法者所掌控着。现如今,他们又玩起了新花样。 监控雷达Range-R亮相 美国许多执法机构利用强大的技术条件,实现了穿墙“透视”监控民众的活动,这种行为让人不禁想起了隔壁老王猥琐偷...
阅读全文
posted @
2015-01-26 18:56
Fish_Ou
阅读(6388)
推荐(0) 编辑
[源代码审计]甲方公司安全源代码审计策略和案例分析
摘要:YS安全源代码审计策略和案例分析 1、前言: 一般来说,白帽子或开发人员都清楚一条安全开发原则:一切外部输入数据都是不可信的!就是说所有的外部输入数据在使用前都应该经过有效性验证。所谓的外来数据包括但不限于:网络数据、文件IO数据、终端输入数据和环境变量等等。本案例并没有特别不一样的地方,同样是由于未对外来数据进行校验导致的问题,但本案例并非在于说明漏洞本身,而在于强调作为甲...
阅读全文
posted @
2015-01-23 12:33
Fish_Ou
阅读(2776)
推荐(0) 编辑
[源代码审计]黑名单过滤绕过
摘要:今天发现一个绕过正则过滤的问题,很多应用使用正则表达式对输入数据做安全验证,比如,在修改设备名称时的过滤过则为:String regex = "^.*[\\\\/:\\*\\?\"\\|'%&]+.*$"; //出现1个或多个”\/:*?"|'%&”字符表示不合法Pattern pattern = ...
阅读全文
posted @
2015-01-22 20:29
Fish_Ou
阅读(1450)
推荐(0) 编辑
视频大数据技术的应用以及存在的隐私泄露问题
摘要:现代社会的信息量正以飞快的速度增长,这些信息里又积累着大量的数据。预计到2025年,每年产生的数据信息将会有超过1/3的内容驻留在云平台中或借助云平台处理。我们需要对这些数据进行分析和处理,以获取更多有价值的信息。在未来的“智慧城市”中,会有越来越大的结构化以及非结构化的数据。那么我们如何高效地存储...
阅读全文
posted @
2015-01-14 18:49
Fish_Ou
阅读(1036)
推荐(0) 编辑
移动应用安全开发指南(Android)--完结篇
摘要:如果IE显示格式不正常,请使用chrome浏览器 1、认证和授权 概述 认证是用来证明用户身份合法性的过程,授权是用来证明用户可以合法地做哪些事的过程,这两个过程一般是在服务器端执行的,但也有的APP出于性能提升或用户体验等原因,将其做在客户端...
阅读全文
posted @
2015-01-13 18:57
Fish_Ou
阅读(2276)
推荐(3) 编辑
云存储密钥优化
摘要:1、问题描述: 萤石云系统允许用户修改视频加密密钥,出于安全性考虑,并不在服务器端保存用户的旧明文密钥,而是只保存了两次MD5值,同时,服务器记录了云存储录像和其对应正确密钥的两次MD5值,当用户登录时,会返回该对应关系,用户需要查看老的云存储录像时,通过匹配输入的明文密钥的两次MD5值和服务器返回的两次MD5值是否一致来判断是否可以进行解密。此方案的问题在于:当用户多次修改视...
阅读全文
posted @
2015-01-13 18:54
Fish_Ou
阅读(267)
推荐(0) 编辑
[安全分析报告]门磁报警系统破解猜想
摘要:门磁报警器破解猜想 1、门磁简介: 门磁是用来探测门、窗、抽屉等是否被非法打开或移动的传感器。它由无线发射器和磁块两部分组成(实物图如下)。 2、门磁报警系统: 门磁系统是一种安全报警系统,由门磁开关和由两部分组成:较小的部件为永磁体,内部有一块永久磁铁,用来产生恒定的磁场,较大的是门磁主体,它内部有一个常开型的干簧管,当永磁体和干...
阅读全文
posted @
2015-01-09 21:00
Fish_Ou
阅读(9121)
推荐(1) 编辑
移动应用安全开发指南(Android)--数据验证
摘要:概述 移动应用往往通过数据的发送、接收和处理来完成一系列功能,通常情况下,处理的数据绝大部分都来源于外部(比如网络、内部或外部存储和用户输入等),对这些数据处理不当会导致各种各样的漏洞和风险,比代码执行和信息泄漏等等。 ...
阅读全文
posted @
2015-01-09 09:48
Fish_Ou
阅读(813)
推荐(0) 编辑
Web安全开发指南--文件系统
摘要:6.1、上传文件功能 简要描述 文件上传漏洞是由于文件上传功能实现代码没有对用户上传的文件进行正确处理,导致允许攻击者向服务某个目录上传文件。 ...
阅读全文
posted @
2015-01-09 09:44
Fish_Ou
阅读(536)
推荐(0) 编辑
站点隐私保护技术
摘要:1、策略性原则: 1.1、用户拥有知情权和选择权。 1.2、站点不得将数据用于指定范围外的用途。 1.3、内部员工无法直接接触敏感数据。 1.4、快速地应急响应和用户通知机制。 1.5、遵循行业的安全标准(比如PCI-DSS)。 2、技术层面的保护: 2.1、数据隐私保护技术: (1)、认证。 (2)、访问控制。 (3)、加密和散列。 2.2、数据库隐私保护技术: (1)、...
阅读全文
posted @
2015-01-09 09:42
Fish_Ou
阅读(279)
推荐(0) 编辑
Web安全测试指南--文件系统
摘要:上传: 编号 Web_FileSys_01 用例名称 上传功能测试 用例描述 测试上传...
阅读全文
posted @
2015-01-08 08:58
Fish_Ou
阅读(686)
推荐(0) 编辑
Web安全开发指南--异常错误处理与日志审计
摘要:1、异常错误处理与日志审计 5.1、日志审计系统安全规则 1 日志系统能够记录特定事件的执行结果(比如 成功或失败)。 确保日志系统包含如下重要日志信息: 1、 日志发生的时间; 2、 ...
阅读全文
posted @
2015-01-08 08:56
Fish_Ou
阅读(649)
推荐(0) 编辑
[漏洞检测]Proxpy Web Scan设计与实现(未完待续)
摘要:Proxpy Web Scan设计与实现 1、简介: Proxpy Web Scan是基于开源的python漏洞扫描框架wapiti改造的web漏洞扫描器,其主要解决以下几个问题而生: (1)、当前互联网业务处于快速发展阶段,由于小版本更新迭代快,很难做到发布前必定经过安全测试。此外,安全小组面临安全人员不足和人工安全测试重复性工作过高的问题, (2)、当前业界的漏洞扫...
阅读全文
posted @
2015-01-07 19:08
Fish_Ou
阅读(1340)
推荐(0) 编辑
WiFi安全测试工具、蹭网利器–WiFiPhisher(转)
摘要:读后感:看了一下官方介绍,需要2张无线网卡的支持,其中一张应该是用来影响用户和正常热点的连接,即进行dos攻击,而另外一张可以模拟一个假AP等待用户接入,这种攻击将对物联网和智能家居安防等产品造成很大影响,具体见本人的文章《门磁报警系统破解猜想》原帖地址:http://www.freebuf.com...
阅读全文
posted @
2015-01-07 13:01
Fish_Ou
阅读(1617)
推荐(0) 编辑
移动应用安全开发指南(Android)--Android组件和IPC
摘要:概述 移动应用开发中,往往有跨进程通信的需求,方便地实现程序间的数据共享。Android提供了多种IPC通信的方式,给开发人员带来了便利,但如果选择或使用不当,就有可能发生各种各样的风险。 ...
阅读全文
posted @
2015-01-07 08:59
Fish_Ou
阅读(1020)
推荐(2) 编辑
移动应用安全开发指南(Android)--数据传输
摘要:概述 移动应用很多时候并非孤立存在,在多数场景下存在前、后台以及第三方服务之间进行数据交互,因此,在网络中传输敏感数据在所难免,如果不使用正确安全的传输方式,有可能存在敏感信息泄漏的风险。 ...
阅读全文
posted @
2015-01-07 08:52
Fish_Ou
阅读(1238)
推荐(1) 编辑
Web安全测试指南--信息泄露
摘要:5.4.1、源代码和注释: 编号 Web_InfoLeak_01 用例名称 源代码和注释检查测试 ...
阅读全文
posted @
2015-01-07 08:48
Fish_Ou
阅读(1916)
推荐(0) 编辑
Web安全开发指南--数据验证
摘要:1、数据验证 4.1、输入数据验证安全规则 1 数据验证必须放在服务器端进行。 2 至少对输入数据的数据类型、数据范围和数据长度进行验证。 ...
阅读全文
posted @
2015-01-07 08:47
Fish_Ou
阅读(1251)
推荐(0) 编辑
椭圆曲线加密算法(ECC)原理和C++实现源码(摘录)
摘要:/* 1、用户A选定一条适合加密的椭圆曲线Ep(a,b)(如:y2=x3+ax+b),并取椭圆曲线上一点,作为基点G。 2、用户A选择一个私有密钥k,并生成公开密钥K=kG。 3、用户A将Ep(a,b)和点K,G传给用户B。 4、用户B接到信息后 ,将待传输的明文编码到Ep(a,b)上一点M,...
阅读全文
posted @
2015-01-06 20:59
Fish_Ou
阅读(26295)
推荐(1) 编辑
HMAC结合“挑战/响应”保障数据传输安全
摘要:1、流程图: HMAC的一个典型应用是结合“挑战/响应”(Challenge/Response)来保障客户端和服务器传输数据的安全性。2、安全性分析: 使用的密钥是双方事先约定的,第三方不可能知道。从整个流程可看出,攻击者只能截获作为“挑战”的随机数和作为“响应”的HMAC结果,无法根据这两个数据推...
阅读全文
posted @
2015-01-06 20:57
Fish_Ou
阅读(2210)
推荐(0) 编辑
Smart config风险分析与对策
摘要:Smart config风险分析与对策 1、简介: Smart config是一种将未联网设备快速连接wifi的技术,大概原理如下图所示: 2、业务需求: 要求实现真正意义上的设备一键自动化wifi配置,不损失用户体验。 3、风险分析: 风险1:wifi密码被窃取。 由于手机使用无线通信告诉设备要连接的wifi的密码,而手机发射的无线...
阅读全文
posted @
2015-01-06 20:03
Fish_Ou
阅读(2014)
推荐(0) 编辑
DH密钥交换和ECDH原理(转)
摘要:DH密钥交换和ECDH原理 时间 2013-06-24 18:50:55 CSDN博客 相似文章 (0) 原文 http://blog.csdn.net/sudochen/article/details/9164427 下面我们以Alice和Bob为例叙述Diffie-Hellman密钥交换的原理...
阅读全文
posted @
2015-01-06 16:42
Fish_Ou
阅读(27093)
推荐(0) 编辑
SSL协议的握手过程(摘录)
摘要:SSL协议的握手过程 为了便于更好的认识和理解 SSL 协议,这里着重介绍 SSL 协议的握手协议。SSL 协议既用到了公钥加密技术(非对称加密)又用到了对称加密技术,SSL对传输内容的加密是采用的对称加密,然后对对称加密的密钥使用公钥进行非对称加密。这样做的好处是,对称加密技术比公钥加密技术的速...
阅读全文
posted @
2015-01-06 15:40
Fish_Ou
阅读(714)
推荐(0) 编辑
物联网信息安全技术研究(转)
摘要:核心提示:据《硅谷》杂志2012年第22期刊文称,物联网在各个领域的推广应用也把原来的网络安全威胁扩大到物质世界,增加防范和管理难度,根据物联网的三个层次,分析物联网的安全特性,特别对感知层的安全问题进行分析,并对物联网安全技术中的密钥管理技术进... 物联网是在计算机互联网...
阅读全文
posted @
2015-01-06 10:31
Fish_Ou
阅读(881)
推荐(0) 编辑
移动应用安全开发指南(Android)--数据存储
摘要:1、数据存储 概述 移动应用经常需要在某些场景下(比如用户登录)处理和用户或业务相关的敏感数据,有时候为满足某些业务需求,需要把这些敏感数据存储在本地,如果不对这些数据进行适当处理,就有可能存在敏感信息泄漏的风险。 安全准则 ...
阅读全文
posted @
2015-01-06 09:13
Fish_Ou
阅读(751)
推荐(1) 编辑
Web安全开发指南--会话管理
摘要:1、会话管理3.1、会话管理安全规则1避免在URL携带session id。2使用SSL加密通道来传输cookie。3避免在错误信息和调试日志中记录session id。4使用框架自带的或业界公认的安全函数来生成session id(参考附录11.4)。5开发或引入无状态的模块(比如shipin7 ...
阅读全文
posted @
2015-01-06 09:08
Fish_Ou
阅读(1067)
推荐(0) 编辑
Web安全测试指南--会话管理
摘要:会话复杂度:编号Web_ Sess_01用例名称会话复杂度测试用例描述测试目标系统产生的session id是否具备足够的复杂度。严重级别高前置条件1、 目标系统使用登录会话机制。2、 目标web应用可访问,业务正常运行。3、 已安装http拦截代理(burp、fiddler或webscarab均可...
阅读全文
posted @
2015-01-06 09:07
Fish_Ou
阅读(2185)
推荐(0) 编辑
[软件安全]常见软件安全漏洞与防御
摘要:针对公司C/C++软件开发人员的安全培训文档
阅读全文
posted @
2015-01-06 09:03
Fish_Ou
阅读(919)
推荐(0) 编辑
图文并茂解释数字证书(转)
摘要:http://www.youdzone.com/signature.htmlWhat is a Digital Signature?An introduction to Digital Signatures, by David Youd Bob ...
阅读全文
posted @
2015-01-05 17:23
Fish_Ou
阅读(486)
推荐(0) 编辑
Web安全测试指南--权限管理
摘要:垂直权限提升:编号Web_Author_01用例名称垂直权限提升测试用例描述测试用户是否具有使用超越其角色范围之外的权限。严重级别高前置条件1、 目标系统拥有不同等级的角色和权限(比如:管理员和普通用户),并能够区分不同级别的权限角色能够访问的资源。2、 目标web应用可访问,业务正常运行。3、 已...
阅读全文
posted @
2015-01-05 12:37
Fish_Ou
阅读(1720)
推荐(1) 编辑
互联互通协议安全设计
摘要:互联互通协议安全设计 1、背景: 物联网时代即将到来,智能家居是这个时代的一个典型的应用场景,目前基于智能家居的解决方案也越来越成熟,在智能家居方案里,感知层的设备之间的互动和学习将是一种特色,这也是使得家居变得智能的手段。由于智能家居将会是一套相对复杂的系统,所以同样会面临着各种各样的安全问题,从整体上看,除了传统的互联网安全问题外,还有其独具特色的感知层设备的安全问题,本...
阅读全文
posted @
2015-01-05 11:35
Fish_Ou
阅读(764)
推荐(0) 编辑
Web安全测试指南--认证
摘要:认证:5.1.1、敏感数据传输:编号Web_Authen_01_01用例名称敏感数据传输保密性测试用例描述测试敏感数据是否通过加密通道进行传输以防止信息泄漏。严重级别高前置条件1、 已明确定义出敏感数据范围(比如口令、短信验证码和身份证号等)。2、 目标web应用可访问,业务正常运行。3、 已安装h...
阅读全文
posted @
2015-01-04 20:37
Fish_Ou
阅读(1879)
推荐(0) 编辑
Android SO(动态链接库)UPX加固指南
摘要:这两年移动应用安全领域发展相当快,现在使用UPX壳对SO进行加固显然已经不够了,不过本着“有总比没有好”的想法,经过了几天的研究终于得以成功实施,故写本指南给有需要的同学少走弯路。当然,现在市场上已经有很多专业的加固平台,比如:阿里聚安全、梆梆和爱加密等,也推荐大家去了解一下。
阅读全文
posted @
2015-01-04 20:27
Fish_Ou
阅读(16717)
推荐(1) 编辑
[典型漏洞分享]Insert型SQL注入的发现和利用,篡改订单金额
摘要:本例中的SQL注入和其它发现的SQL注入的主要区别:1、生成订单接口是一次性的,反复提交无效,因此,此类型的SQL注入比较难通过扫描器发现,需要人工提取和手动测试。2、Insert类型的SQL注入,不经常见。在本例中,我们成功的通过该漏洞篡改订单金额。 YS 电商生成订单接口存在INSERT型SQL注入漏洞,可修改订单金额数据【中】 问题描述: ...
阅读全文
posted @
2015-01-04 20:09
Fish_Ou
阅读(1939)
推荐(0) 编辑
[典型漏洞分享]多线程同步问题导致越过程序限制
摘要:在涉及到钱的问题时,多线程同步问题一定要重点考虑,如果处理不当可能造成无法预料的损失。 YS 电商优惠券漏洞可以使一张优惠券被多次使用来生成订单【高】 问题描述: 用户在YS电商可以使用我们提供的优惠券购买设备,并得到一定金额的优惠,一张优惠券只能使用一次,在提交生成订单的接口时需要带上该优惠券号码,后台系统会根据该优惠券的类型自动减...
阅读全文
posted @
2015-01-04 20:02
Fish_Ou
阅读(548)
推荐(0) 编辑
[典型漏洞分享]关于智能硬件设备的近程攻击
摘要:以YS的一个实际案例说明一个几乎属于智能硬件设备专属的攻击类型设备串口登录不需要认证【低】问题描述: 在进行底层的嵌入式开发时,开发人员为了方便调试,往往会在设备上预留一个调试接口(比如:串口),而这种设备接口一般是不需要认证即可登录进行调试的,而且往往获取到的是最高权限,服务器以及智能手机终端都可...
阅读全文
posted @
2015-01-04 14:30
Fish_Ou
阅读(469)
推荐(0) 编辑
关于智能硬件设备shell安全设计
摘要:问题描述: 在对某些智能硬件设备进行测试时,发现有些设备直接提供了Linux shell,并且登录账号默认是root权限!在登录到设备后,在bin目录下可以看到很多命令行程序,这些程序大部门用户用不到,更多的是作为开发的时候使用,主要包含以下几类:1、 危险命令:设备reboot,busybox p...
阅读全文
posted @
2015-01-04 14:15
Fish_Ou
阅读(378)
推荐(0) 编辑
web安全开发指南--权限管理
摘要:2.1 访问控制安全规则1访问控制必须只能在服务器端执行。2只通过session来判定用户的真实身份,避免使用其它数据域的参数(比如来自cookie、hidden域、form和URL参数等)来做访问控制。3对web/应用服务器进行安全配置以防止用户对静态文件的无鉴权访问(参考附录11.6)。4对每一...
阅读全文
posted @
2015-01-04 08:52
Fish_Ou
阅读(746)
推荐(0) 编辑
[安全测试报告]某米摄像头安全体验报告
摘要:某米摄像头安全体验报告1、简介: 安全小组对某米摄像头进行了简单的分析,本报告进行了简单总结。2、问题详述(客户端/设备):2.1、新购置的或刚重置的某米摄像头可被恶意添加,导致隐私泄露。问题描述: 新购置或刚重置过的摄像头接电时是出于未配置wifi状态的(闪橙色led),使用某米的手机客户端可以通...
阅读全文
posted @
2015-01-04 08:48
Fish_Ou
阅读(888)
推荐(0) 编辑
产品安全设计十大原则
摘要:产品安全设计十大原则 原则1:最小化攻击面: 系统每增加一个功能特性就有可能会引入新的风险,通过安全开发可以减少攻击面进而达到控制系统整体风险的目的。 打个比方说,某在线web应用向用户提供了一个通过搜索来获取帮助的功能,如果后端代码没有正确实现该功能就有可能导致存在SQL注入漏洞,但是即便如此,我们还是有办法降低或消除风险的,比如: u 该帮助功能只...
阅读全文
posted @
2015-01-01 18:18
Fish_Ou
阅读(6046)
推荐(0) 编辑