上一页 1 2 3 4 5 6 7 8 9 ··· 12 下一页
  2015年1月5日
摘要: http://www.youdzone.com/signature.htmlWhat is a Digital Signature?An introduction to Digital Signatures, by David Youd Bob ... 阅读全文
posted @ 2015-01-05 17:23 Fish_Ou 阅读(486) 评论(0) 推荐(0) 编辑
摘要: 垂直权限提升:编号Web_Author_01用例名称垂直权限提升测试用例描述测试用户是否具有使用超越其角色范围之外的权限。严重级别高前置条件1、 目标系统拥有不同等级的角色和权限(比如:管理员和普通用户),并能够区分不同级别的权限角色能够访问的资源。2、 目标web应用可访问,业务正常运行。3、 已... 阅读全文
posted @ 2015-01-05 12:37 Fish_Ou 阅读(1713) 评论(0) 推荐(1) 编辑
摘要: 互联互通协议安全设计 1、背景: 物联网时代即将到来,智能家居是这个时代的一个典型的应用场景,目前基于智能家居的解决方案也越来越成熟,在智能家居方案里,感知层的设备之间的互动和学习将是一种特色,这也是使得家居变得智能的手段。由于智能家居将会是一套相对复杂的系统,所以同样会面临着各种各样的安全问题,从整体上看,除了传统的互联网安全问题外,还有其独具特色的感知层设备的安全问题,本... 阅读全文
posted @ 2015-01-05 11:35 Fish_Ou 阅读(760) 评论(0) 推荐(0) 编辑
  2015年1月4日
摘要: 认证:5.1.1、敏感数据传输:编号Web_Authen_01_01用例名称敏感数据传输保密性测试用例描述测试敏感数据是否通过加密通道进行传输以防止信息泄漏。严重级别高前置条件1、 已明确定义出敏感数据范围(比如口令、短信验证码和身份证号等)。2、 目标web应用可访问,业务正常运行。3、 已安装h... 阅读全文
posted @ 2015-01-04 20:37 Fish_Ou 阅读(1873) 评论(0) 推荐(0) 编辑
摘要: 这两年移动应用安全领域发展相当快,现在使用UPX壳对SO进行加固显然已经不够了,不过本着“有总比没有好”的想法,经过了几天的研究终于得以成功实施,故写本指南给有需要的同学少走弯路。当然,现在市场上已经有很多专业的加固平台,比如:阿里聚安全、梆梆和爱加密等,也推荐大家去了解一下。 阅读全文
posted @ 2015-01-04 20:27 Fish_Ou 阅读(16591) 评论(1) 推荐(1) 编辑
摘要: 本例中的SQL注入和其它发现的SQL注入的主要区别:1、生成订单接口是一次性的,反复提交无效,因此,此类型的SQL注入比较难通过扫描器发现,需要人工提取和手动测试。2、Insert类型的SQL注入,不经常见。在本例中,我们成功的通过该漏洞篡改订单金额。 YS 电商生成订单接口存在INSERT型SQL注入漏洞,可修改订单金额数据【中】 问题描述: ... 阅读全文
posted @ 2015-01-04 20:09 Fish_Ou 阅读(1932) 评论(0) 推荐(0) 编辑
摘要: 在涉及到钱的问题时,多线程同步问题一定要重点考虑,如果处理不当可能造成无法预料的损失。 YS 电商优惠券漏洞可以使一张优惠券被多次使用来生成订单【高】 问题描述: 用户在YS电商可以使用我们提供的优惠券购买设备,并得到一定金额的优惠,一张优惠券只能使用一次,在提交生成订单的接口时需要带上该优惠券号码,后台系统会根据该优惠券的类型自动减... 阅读全文
posted @ 2015-01-04 20:02 Fish_Ou 阅读(547) 评论(0) 推荐(0) 编辑
摘要: 以YS的一个实际案例说明一个几乎属于智能硬件设备专属的攻击类型设备串口登录不需要认证【低】问题描述: 在进行底层的嵌入式开发时,开发人员为了方便调试,往往会在设备上预留一个调试接口(比如:串口),而这种设备接口一般是不需要认证即可登录进行调试的,而且往往获取到的是最高权限,服务器以及智能手机终端都可... 阅读全文
posted @ 2015-01-04 14:30 Fish_Ou 阅读(464) 评论(0) 推荐(0) 编辑
摘要: 问题描述: 在对某些智能硬件设备进行测试时,发现有些设备直接提供了Linux shell,并且登录账号默认是root权限!在登录到设备后,在bin目录下可以看到很多命令行程序,这些程序大部门用户用不到,更多的是作为开发的时候使用,主要包含以下几类:1、 危险命令:设备reboot,busybox p... 阅读全文
posted @ 2015-01-04 14:15 Fish_Ou 阅读(378) 评论(0) 推荐(0) 编辑
摘要: 2.1 访问控制安全规则1访问控制必须只能在服务器端执行。2只通过session来判定用户的真实身份,避免使用其它数据域的参数(比如来自cookie、hidden域、form和URL参数等)来做访问控制。3对web/应用服务器进行安全配置以防止用户对静态文件的无鉴权访问(参考附录11.6)。4对每一... 阅读全文
posted @ 2015-01-04 08:52 Fish_Ou 阅读(744) 评论(0) 推荐(0) 编辑
上一页 1 2 3 4 5 6 7 8 9 ··· 12 下一页