摘要： 简介： 使用数字证书用来做二次登录认证是一种已经广泛使用的，能够有效保护用户账户的手段，即用户如果开启了数字证书保护，登录到应用系统时，不仅需要输入用户的账户和口令，还需要有这张证书配合才能登录，因此，即便用户的账户被盗去，在没有数字证书的情况下一样无法登录系统。 1、用户申请新证书流程: 场景1：用户登录YS，开启数字证书登录功能和新建证书申请。 2、用户使用数字证书登录流... 阅读全文

摘要： 要学习无线安全和物联网安全，一些基础知识还是要懂的。 识别技术 射频识别技术依其采用的频率不同可分为低频系统和高频系统两大类；根据电子标签内是否装有电池为其供电，又可将其分为有源系统和无源系统两大类；从电... 阅读全文

摘要： 原帖地址：http://bbs.pediy.com/showthread.php?p=1335278#post1335278 近期在国内网易，雷锋网等网站爆出谷歌市场上的索尼官方的备份与恢复应用“Backup and Restore”被黑的消息。新闻显示：目前索尼官方的备份与恢复应用“Backup and Restore”已经被黑客彻底破解；甚至在Google Play商店里该应用的所有权都被黑... 阅读全文

摘要： 转贴地址：http://www.freebuf.com/tools/54562.html 0×01前言 这年头，apk 全都是加密啊，加壳啊，反调试啊，小伙伴们表示已经不能愉快的玩耍了。静态分析越来越不靠谱了，apktool、ApkIDE、jd GUI、dex2jar等已经无法满足大家的需求了。那么问题就来了，小伙伴们真正需要的是什么？好的，大家一起呐喊出你内心的欲望... 阅读全文

摘要： 随着移动互联网的发展和智能手机的普及，基于android系统的各类app出现爆发式增长，但在增长的同时，一个不容忽视的问题越来越重要：安全。 漏洞扫描方式主要分为静态和动态，静态扫描的漏洞类型主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误等。动态扫描的漏洞类型主要包含拒绝服务攻击、文件目录遍历漏洞... 阅读全文

摘要： 方案 优点 攻击场景分析 安全性分析 安全性 性价比 硬件特征码 1、可自研，开发和维护都相对简单。 2、不需要花费购买成本。 假设条件1：YS站点存在XSS漏洞。 假设条件2：攻击者已经得到了用户账户口令。 ... 阅读全文

摘要： 由于开发的python web 扫描器需要在python2.7.5以及需要MYSQLdb这个库的支持，在此做一个记录，避免更换到新环境时的学习成本。 一、安装MYSQL 1、yum install mysql-server mysql-devel mysql （必须能联网） 2、启动mysql: /etc/init.d/mysqld start 3、以root账户登录mysql（... 阅读全文

摘要： easyFuzzer使用案例分享1、简介： easyFuzzer是wooyun的一位白帽子（光刃）提供的一款用于fuzz文件的工具。平时主要是和网络协议安全打交道，和本地软件安全打交道比较少，所以没怎么关注这款软件，但是今天发现YS的PC客户端多了一个视频编辑的功能，而且还做成了单独的编辑器，在对这... 阅读全文

摘要： 平时在工作中真正用到metesploit机会不多，偶尔也会用来做漏洞验证，但是每次使用的时候都需要花点时间回忆一下具体是怎么用的，因此索性记下来方便自己，以使用Nessus扫描YS的某个硬件设备发现的UPNP漏洞为例： 1、 查看漏洞的CVE号，比如Nessus会显示漏洞对应的CVE号，如图： 2、 根据CVE号到exploit_db站点（http://www.exploit-db.c... 阅读全文

摘要： 智能家居最重要一点是能提升家庭的安全性，但是如果现在告诉你说智能家居本身也存在安全问题，你会作何感想？不得不承认，强化家庭安全本是智能家居“职责”，而如今安全问题却已成为智能家居设备自身最严重的问题之一。 ... 阅读全文