上一页 1 ··· 3 4 5 6 7 8 9 10 11 12 下一页
  2014年12月28日
摘要: 某流媒体协议应急响应事件回放 1、背景: 2014的X月Z号,我收到公司信息安全委员会的一封邮件,说收到了一封来自老外的Email,Email里面描述到我们的传统行业设备存在一些安全问题,并在他们公司的官网上发布了相关的信息,之后我瞧了一下他们的分析报告,才刚看一小段我就已经明白一切了,理由是,在2014的X月Z-9号的时候,我们自己内部也已经发现了此漏洞,在互联网设备上已经... 阅读全文
posted @ 2014-12-28 16:31 Fish_Ou 阅读(291) 评论(0) 推荐(0) 编辑
摘要: 运动型摄像机风险分析与防范 1、简介: 运动相机是几乎户外极限运动爱好者的必备,就世界范围而言,Google的GoPro无疑最具代表性,GoPro相机是一款小型可携带固定式防水防震相机。GoPro的相机现已被冲浪、滑雪、极限自行车及跳伞等极限运动团体广泛运用,因而“GoPro”也几乎成为“极限运动专用相机”的代名词。 当然,这篇文章并不是来分析GoPro安... 阅读全文
posted @ 2014-12-28 14:48 Fish_Ou 阅读(702) 评论(0) 推荐(0) 编辑
摘要: 给运维小组培训的NTP反射型DDOS攻击的PPT 阅读全文
posted @ 2014-12-28 11:15 Fish_Ou 阅读(504) 评论(0) 推荐(0) 编辑
摘要: 偶平时在做安全测试时,一般是以发现问题为主,点到为止,但做安全的同学可能也遇到过这样的问题,当你尝试向开发的同学描述一个漏洞危害怎么怎么样的时候,双方经常会有一种鸡同鸭讲的感觉,甚至他们觉得我们在夸大其词去影响他们去修复,其实面对开发的同学的质疑,我也觉得合理,毕竟你用XSS去弹个框,能说明什么呢?... 阅读全文
posted @ 2014-12-28 10:50 Fish_Ou 阅读(3681) 评论(0) 推荐(0) 编辑
摘要: YS VTM模块存在缓冲区溢出漏洞,可导致VTM进程异常退出【高】问题描述: YS VTM模块开放对外监听端口(8554和8664),并从外部接收网络数据,中间模块调用到memcpy函数对网络数据进行拷贝,但该模块未正确对拷贝字节数进行判断,在使用Nessus对该模块进行扫描并传入超长字符串时会发生... 阅读全文
posted @ 2014-12-28 10:13 Fish_Ou 阅读(1032) 评论(0) 推荐(0) 编辑
摘要: YS android手机APP对外开放多余的content provider,可任意增、删、改和查images数据库表格,导致隐私泄露问题描述: YS android手机APP使用SQLITE数据库做数据存储,在android系统上可以通过content provider实现对SQLITE数据库的操... 阅读全文
posted @ 2014-12-28 10:03 Fish_Ou 阅读(838) 评论(0) 推荐(0) 编辑
  2014年12月26日
摘要: http://tech.qq.com/a/20141226/006766.htm?pgv_ref=aio2012&ptlang=2052 阅读全文
posted @ 2014-12-26 20:25 Fish_Ou 阅读(397) 评论(0) 推荐(0) 编辑
摘要: 结合YS业务分析oauth协议风险问题描述: YS 使用QQ互联的openAPI实现QQ登录YS的功能,使用该功能需要在腾讯注册登录时的回调地址,根据oauth协议,用户的code或者access_token将被发送到这个回调地址,而目前出于域名变动等各种因素考虑,目前使用的是通配符域名进行注册,这... 阅读全文
posted @ 2014-12-26 18:34 Fish_Ou 阅读(334) 评论(0) 推荐(0) 编辑
摘要: 这是之前写的一篇关于建设产品安全团队的建议方案,并就此跟想组建安全团队的业务BG领导进行了友好且热烈的交流。1、总体思路:1.1、 明确需要做哪些事情,并按优先级排序,再找到合适的专业人员去实施。1.2、 人员(特别是资深人员)并不总是可获得,有些事情短期内也不太可能做得起来,初期花钱买一些安全产品... 阅读全文
posted @ 2014-12-26 09:24 Fish_Ou 阅读(1155) 评论(0) 推荐(0) 编辑
  2014年12月25日
摘要: YS的的当前session是24小时失效的,手机和web是共用一套session机制的,但考虑到移动终端的用户体验问题,不可能让用户24小时就登录一次,因此,自动登录是必须要做的,目前的方式是使用对称加密(AES256)存储用户的用户名和口令,密钥使用是根据软硬件环境生成的,密文只能在这台机器上解密,但长远来看还是有被逆出明文的风险,因此,决定改用存储sessionID的方式实现自动登录,同... 阅读全文
posted @ 2014-12-25 20:03 Fish_Ou 阅读(794) 评论(0) 推荐(0) 编辑
上一页 1 ··· 3 4 5 6 7 8 9 10 11 12 下一页