摘要： Drozer快速使用指南1、简介： Drozer是一款用于测试android应用程序漏洞的安全评估工具，能够发现多种类型的安全的漏洞，免费版本的相关资源下载地址：https://www.mwrinfosecurity.com/products/drozer/community-edition/其中包... 阅读全文

摘要： 一、YS客服系统问题描述： YS使用的是某公司开发的客服系统，使用该系统的如下优点：安装和部署简单，解决方案相对完善，所以不需要单独开发YS独立的客服系统。注册和使用该系统的基本流程图如下：二、钓鱼攻击示意图一（通过篡改客服ID）： 正常流程三、钓鱼攻击示意图二（通过SQL注入）：说明：某网站在wo... 阅读全文

摘要： 上次说到我们的服务器因为这个客服系统被拿下后，我们在服务器后台进行了木马查杀，结果杀出了不少木马，但经过筛选之后，真正能执行的只有2个，查看这两个木马的创建时间，一个是3天前，也就是白帽子第一次尝试跟我们联系的时间点，而另外一个创建时间居然是几年前，在百思不得其解的情况下我们向这位白帽子进行了确认，他说自己只传了一个木马，另外一个绝对不是他的，话说回来，我们的客服系统才上线了几个... 阅读全文

摘要： 1、简介： 传统的互联网，SSL通信主要基于客户端和服务器之间，在物联网时代，端和端之间的加密通信将变得很普遍，在YS业务中主要的端和端通信为： （1）、客户端（移动APP，YS工作室和web）和设备之间的双向通信。 （2）、设备和设备之间的双向通信。 为保障用户通信安全，端和端之间的通信实施SSL通信。 注：实际上是基于客户端的hik的SDK和设备之间的通信，使用了h... 阅读全文

摘要： 今天收到某白帽子报告说通过某漏洞把我们的服务器拿下了，一下子让已经忙碌不堪的我更加忙碌了，在这里就只做简单的总结：1、 原因：YS使用的某kf系统存在上传漏洞，在网上没有搜到任何信息，可能是0day，也可能是未公开的（漏洞细节暂不公开）。2、 危害：白帽子通过该漏洞上传木马拿下了我们的kf服务器。3... 阅读全文

摘要： openssl genrsa -out rsakey.pem 1024 //生成1024bit的RSA密钥，并保存到rsakey.pem，此处未对密钥进行加密 openssl genrsa -aes128 -out rsakey.pem -passout pass:123456 1024 //生成1024bit的RSA密钥,此处对密钥使用AES128进行加密，密钥口令为123456 op... 阅读全文

摘要： Cain抓包指南1、简介：在开发测试工作中经常有捕抓设备间通信报文的需求，但有时候被抓包的设备并不直接和进行抓包的主机或设备进行通信，因此会达不到想要的效果。解决该问题的常见方法有：（1）、为被抓包的设备设置代理，即将数据包重定向到代理机上，代理机再转发到目标机，然后在代理机上抓包。优点：设置简单，... 阅读全文

摘要： 最近，听说挂在网络上的设备进行时间同步成功率低，YS需要架设自己的NTP服务器，这玩意第一时间能让人想到NTP流量放大攻击，这也是一种比较古老的攻击方式，检测了一下发现所使用的OS默认已经进行了加固，因此不存在这个问题，虽然如此，决定还是使用PPT总结记录一下。 阅读全文

摘要： DNS域传送漏洞测试1、简介： DNS(Domain Name System)也叫域名管理系统，它它建立在一个分布式数据库基础之上，在这个数据库里，保存了IP地址和域名的相互映射关系。正因为DNS的存在，我们才不需要记住大量无规则的IP地址， 而只需要知道对方计算机的名称，就可以访问对应服务。 DN... 阅读全文

摘要： 这是一篇周鸿祎的很有见地的思想的文章，这也是当前YS业务面对的问题与挑战！值得推荐。 第七届中美互联网论坛在12月2日-3日在美国华盛顿召开，本次论坛的主题是“对话与合作”，我代表中国互联网企业在论坛上发表主题演讲。我觉得中国的互联网并不是美国互联网的镜像或是复制品，中国已经成为全球最大的互联网大国之一，过去都是美国互联网模式到中国来，但未来，会有更多中国创造的模式到美国来。同时，随着IO... 阅读全文