上一页 1 ··· 7 8 9 10 11 12 下一页
  2014年12月17日
摘要: Drozer快速使用指南1、简介: Drozer是一款用于测试android应用程序漏洞的安全评估工具,能够发现多种类型的安全的漏洞,免费版本的相关资源下载地址:https://www.mwrinfosecurity.com/products/drozer/community-edition/其中包... 阅读全文
posted @ 2014-12-17 21:09 Fish_Ou 阅读(1883) 评论(0) 推荐(1) 编辑
摘要: 一、YS客服系统问题描述: YS使用的是某公司开发的客服系统,使用该系统的如下优点:安装和部署简单,解决方案相对完善,所以不需要单独开发YS独立的客服系统。注册和使用该系统的基本流程图如下:二、钓鱼攻击示意图一(通过篡改客服ID): 正常流程三、钓鱼攻击示意图二(通过SQL注入):说明:某网站在wo... 阅读全文
posted @ 2014-12-17 18:36 Fish_Ou 阅读(583) 评论(0) 推荐(0) 编辑
  2014年12月16日
摘要: 上次说到我们的服务器因为这个客服系统被拿下后,我们在服务器后台进行了木马查杀,结果杀出了不少木马,但经过筛选之后,真正能执行的只有2个,查看这两个木马的创建时间,一个是3天前,也就是白帽子第一次尝试跟我们联系的时间点,而另外一个创建时间居然是几年前,在百思不得其解的情况下我们向这位白帽子进行了确认,他说自己只传了一个木马,另外一个绝对不是他的,话说回来,我们的客服系统才上线了几个... 阅读全文
posted @ 2014-12-16 18:51 Fish_Ou 阅读(863) 评论(0) 推荐(0) 编辑
摘要: 1、简介: 传统的互联网,SSL通信主要基于客户端和服务器之间,在物联网时代,端和端之间的加密通信将变得很普遍,在YS业务中主要的端和端通信为: (1)、客户端(移动APP,YS工作室和web)和设备之间的双向通信。 (2)、设备和设备之间的双向通信。 为保障用户通信安全,端和端之间的通信实施SSL通信。 注:实际上是基于客户端的hik的SDK和设备之间的通信,使用了h... 阅读全文
posted @ 2014-12-16 15:57 Fish_Ou 阅读(410) 评论(0) 推荐(0) 编辑
摘要: 今天收到某白帽子报告说通过某漏洞把我们的服务器拿下了,一下子让已经忙碌不堪的我更加忙碌了,在这里就只做简单的总结:1、 原因:YS使用的某kf系统存在上传漏洞,在网上没有搜到任何信息,可能是0day,也可能是未公开的(漏洞细节暂不公开)。2、 危害:白帽子通过该漏洞上传木马拿下了我们的kf服务器。3... 阅读全文
posted @ 2014-12-16 15:10 Fish_Ou 阅读(897) 评论(0) 推荐(0) 编辑
摘要: openssl genrsa -out rsakey.pem 1024 //生成1024bit的RSA密钥,并保存到rsakey.pem,此处未对密钥进行加密 openssl genrsa -aes128 -out rsakey.pem -passout pass:123456 1024 //生成1024bit的RSA密钥,此处对密钥使用AES128进行加密,密钥口令为123456 op... 阅读全文
posted @ 2014-12-16 09:51 Fish_Ou 阅读(1113) 评论(0) 推荐(0) 编辑
  2014年12月15日
摘要: Cain抓包指南1、简介:在开发测试工作中经常有捕抓设备间通信报文的需求,但有时候被抓包的设备并不直接和进行抓包的主机或设备进行通信,因此会达不到想要的效果。解决该问题的常见方法有:(1)、为被抓包的设备设置代理,即将数据包重定向到代理机上,代理机再转发到目标机,然后在代理机上抓包。优点:设置简单,... 阅读全文
posted @ 2014-12-15 18:00 Fish_Ou 阅读(2632) 评论(0) 推荐(0) 编辑
  2014年12月13日
摘要: 最近,听说挂在网络上的设备进行时间同步成功率低,YS需要架设自己的NTP服务器,这玩意第一时间能让人想到NTP流量放大攻击,这也是一种比较古老的攻击方式,检测了一下发现所使用的OS默认已经进行了加固,因此不存在这个问题,虽然如此,决定还是使用PPT总结记录一下。 阅读全文
posted @ 2014-12-13 14:00 Fish_Ou 阅读(1623) 评论(0) 推荐(0) 编辑
摘要: DNS域传送漏洞测试1、简介: DNS(Domain Name System)也叫域名管理系统,它它建立在一个分布式数据库基础之上,在这个数据库里,保存了IP地址和域名的相互映射关系。正因为DNS的存在,我们才不需要记住大量无规则的IP地址, 而只需要知道对方计算机的名称,就可以访问对应服务。 DN... 阅读全文
posted @ 2014-12-13 13:48 Fish_Ou 阅读(1554) 评论(0) 推荐(0) 编辑
  2014年12月12日
摘要: 这是一篇周鸿祎的很有见地的思想的文章,这也是当前YS业务面对的问题与挑战!值得推荐。 第七届中美互联网论坛在12月2日-3日在美国华盛顿召开,本次论坛的主题是“对话与合作”,我代表中国互联网企业在论坛上发表主题演讲。我觉得中国的互联网并不是美国互联网的镜像或是复制品,中国已经成为全球最大的互联网大国之一,过去都是美国互联网模式到中国来,但未来,会有更多中国创造的模式到美国来。同时,随着IO... 阅读全文
posted @ 2014-12-12 22:47 Fish_Ou 阅读(280) 评论(0) 推荐(0) 编辑
上一页 1 ··· 7 8 9 10 11 12 下一页