摘要： YS安全源代码审计策略和案例分析 1、前言： 一般来说，白帽子或开发人员都清楚一条安全开发原则：一切外部输入数据都是不可信的！就是说所有的外部输入数据在使用前都应该经过有效性验证。所谓的外来数据包括但不限于：网络数据、文件IO数据、终端输入数据和环境变量等等。本案例并没有特别不一样的地方，同样是由于未对外来数据进行校验导致的问题，但本案例并非在于说明漏洞本身，而在于强调作为甲... 阅读全文

摘要： 今天发现一个绕过正则过滤的问题，很多应用使用正则表达式对输入数据做安全验证，比如，在修改设备名称时的过滤过则为：String regex = "^.*[\\\\/:\\*\\?\"\\|'%&]+.*$"; //出现1个或多个”\/:*?"|'%&”字符表示不合法Pattern pattern = ... 阅读全文

摘要： 阅读全文

摘要： 现代社会的信息量正以飞快的速度增长，这些信息里又积累着大量的数据。预计到2025年，每年产生的数据信息将会有超过1/3的内容驻留在云平台中或借助云平台处理。我们需要对这些数据进行分析和处理，以获取更多有价值的信息。在未来的“智慧城市”中，会有越来越大的结构化以及非结构化的数据。那么我们如何高效地存储... 阅读全文

摘要： 如果IE显示格式不正常，请使用chrome浏览器 1、认证和授权 概述 认证是用来证明用户身份合法性的过程，授权是用来证明用户可以合法地做哪些事的过程，这两个过程一般是在服务器端执行的，但也有的APP出于性能提升或用户体验等原因，将其做在客户端... 阅读全文

摘要： 1、问题描述： 萤石云系统允许用户修改视频加密密钥，出于安全性考虑，并不在服务器端保存用户的旧明文密钥，而是只保存了两次MD5值，同时，服务器记录了云存储录像和其对应正确密钥的两次MD5值，当用户登录时，会返回该对应关系，用户需要查看老的云存储录像时，通过匹配输入的明文密钥的两次MD5值和服务器返回的两次MD5值是否一致来判断是否可以进行解密。此方案的问题在于：当用户多次修改视... 阅读全文

摘要： 阅读全文

摘要： 门磁报警器破解猜想 1、门磁简介： 门磁是用来探测门、窗、抽屉等是否被非法打开或移动的传感器。它由无线发射器和磁块两部分组成（实物图如下）。 2、门磁报警系统： 门磁系统是一种安全报警系统，由门磁开关和由两部分组成：较小的部件为永磁体，内部有一块永久磁铁，用来产生恒定的磁场，较大的是门磁主体，它内部有一个常开型的干簧管，当永磁体和干... 阅读全文

摘要： 概述 移动应用往往通过数据的发送、接收和处理来完成一系列功能，通常情况下，处理的数据绝大部分都来源于外部（比如网络、内部或外部存储和用户输入等），对这些数据处理不当会导致各种各样的漏洞和风险，比代码执行和信息泄漏等等。 ... 阅读全文

摘要： 6.1、上传文件功能 简要描述 文件上传漏洞是由于文件上传功能实现代码没有对用户上传的文件进行正确处理,导致允许攻击者向服务某个目录上传文件。 ... 阅读全文