YS报警权限验证安全设计
摘要:1、总体流程图: 备注: 1、 使用加时间戳的方式优点是可以不用对报警请求进行加密,也可以防止信令重放,缺点是每次都要去DAS获取新的签名。
阅读全文
posted @
2015-03-17 17:18
Fish_Ou
阅读(233)
推荐(0) 编辑
密码找回逻辑漏洞总结(转)
摘要:原帖地址:http://drops.wooyun.org/web/5048 0x00 背景介绍 请注意这两篇文章: 密码找回功能可能存在的问题 密码找回功能可能存在的问题(补充) 距离上两篇文档过去近半年了,最近整理密码找回的脑图,翻开收集的案例,又出现了一些新的情况,这里一并将所有见到的案例总结并分享给大家,在测试时可根据这个框架挖掘! 0x01 密码找回逻辑测试一般流程 ...
阅读全文
posted @
2015-03-11 12:53
Fish_Ou
阅读(1626)
推荐(0) 编辑
嵌入式设备hacking(转)
摘要:原帖地址:http://drops.wooyun.org/papers/5157 0x00 IPCAM hacking TOOLS github-binwalk firmware-mod-kit IDA ...... 主要分析流程 通过binwalk分析识别固件文件 ...
阅读全文
posted @
2015-03-11 12:49
Fish_Ou
阅读(1553)
推荐(0) 编辑
关于安全性测试,我们需要知道的一些事
摘要:关于安全性测试,我们需要知道的一些事 1、安全性测试的最佳时机: 很多企业只有在产品成型或者即将部署上线后才开始做安全性测试,这是一种成本高且低效的做法,最佳实践应该是在整个产品安全开发生命周期(SDLC)的不同阶段实施相应的安全措施。企业应当在SDLC中让安全成为产品设计和开发的一部分。 2、越早越频繁就越好: 安全性缺陷和普通的bug并没有区别,越早...
阅读全文
posted @
2015-03-10 18:42
Fish_Ou
阅读(1101)
推荐(1) 编辑