02 2019 档案

3.SDL落地方案
摘要:01.安全培训 安全意识培训(全员) 邮件安全 钓鱼邮件 邮件伪造 第三方转存 检查发件人 开启二次验证 邮件转发 第三方代收 邮件附件敏感信息加密 病毒防范 什么是木马病毒 我安装哪些杀毒软件? 定期更新病毒库 浏览器安全 不浏览恶意网站 不从恶意网站下载软件 下载软件从官网下载 信息泄露 敏感数 阅读全文
posted @ 2019-02-27 21:41 APT-101 阅读(2439) 评论(0) 推荐(0) 编辑
2.SDL规范文档
摘要:01.安全设计Checklist 输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性,含白名单机制等)格式化字符串时,依然要检验用户输入的合法性,避免可造成系统信息泄露或者拒绝服务 禁止向Java Runtime.exec()方法传递不可信、未净化的数据(当参数中包含空格,双引号,以-或者 阅读全文
posted @ 2019-02-27 21:29 APT-101 阅读(3884) 评论(0) 推荐(0) 编辑
1.SDL介绍
摘要:01.什么是SDL SDL是微软提出的一种软件开发安全生命周期管理的一种最佳安全实践,全称为Security Development Lifecycle。 SDL是微软软件开发安全保障流程,结合了软件开发整个生命周期,将安全工程师嵌入到整个开发流程,和研发一起来协同工作保障整个软件生命周期内的安全。 阅读全文
posted @ 2019-02-27 20:43 APT-101 阅读(1193) 评论(0) 推荐(1) 编辑
什么是应急响应和应急响应体系
摘要:基本概念 安全事件(Security Accident) 是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题,也包括网络范畴内的问题,例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。 应急响应(Emergency Response) 是指组织为了应对突发/重大信息安全事件的发生所做 阅读全文
posted @ 2019-02-26 20:16 APT-101 阅读(16376) 评论(0) 推荐(6) 编辑
反逆向技术
摘要:代码混淆、针对不同逆向工具保护技术、增加逆向难度(java代码native化)、动态加载技术、代码验证技术 代码混淆: 工具:proguard 常用操作:保留选项、压缩、优化、混淆。 功能: 混淆代码(注意使用混淆文件的时候需加入自己的具体操作以防程序无法运行) 删除无用Log:可删除调试和分析代码 阅读全文
posted @ 2019-02-26 11:39 APT-101 阅读(1588) 评论(0) 推荐(0) 编辑
Android App渗透测试工具drozer,Qark,Androguard
摘要:一. drozer简介 drozer(以前称为Mercury)是一款Android安全测试框架。 drozer允许您通过承担应用程序的角色并与Dalvik VM,其他应用程序的IPC端点和底层操作系统进行交互来搜索应用程序和设备中的安全漏洞。 drozer提供工具来帮助您使用,共享和理解公共Andr 阅读全文
posted @ 2019-02-26 11:32 APT-101 阅读(4171) 评论(0) 推荐(0) 编辑
Android 应用的逆向和审计
摘要:Android 应用程序拆解 Android 应用程序是在开发应用程序时创建的数据和资源文件的归档文件。 Android 应用程序的扩展名是.apk,意思是应用程序包,在大多数情况下包括以下文件和文件夹: Classes.dex (文件) AndroidManifest.xml (文件) META- 阅读全文
posted @ 2019-02-26 11:14 APT-101 阅读(999) 评论(0) 推荐(0) 编辑
Hacking Box Droopy: v0.2
摘要:概述: 目标:get flag 下载链接: https://www.vulnhub.com/entry/droopy-v02,143/ 工具: kail linux 开工 <!--StartFragment--> 1)扫描开道: # netdiscover -r 10.10.202.0/24 <!- 阅读全文
posted @ 2019-02-25 17:43 APT-101 阅读(449) 评论(0) 推荐(0) 编辑
Hacking /dev/random: Pipe
摘要:1) 下载镜像,虚拟机启动 https://download.vulnhub.com/devrandom/pipe.ova 2) nmap 扫描探测 Nmap 扫描开路: ╰─ nmap -Pn -sV -p- 10.10.202.0/24 Nmap scan report for 10.10.20 阅读全文
posted @ 2019-02-18 12:19 APT-101 阅读(515) 评论(1) 推荐(0) 编辑
SQL Challenges
摘要:平台: http://www.zixem.altervista.org/SQLi/level1.php?id=1 http://www.zixem.altervista.org/SQLi/level1.php?id=1 and 1=1--+ #true http://www.zixem.alterv 阅读全文
posted @ 2019-02-16 15:23 APT-101 阅读(732) 评论(0) 推荐(0) 编辑
XSS Challenges
摘要:平台: level1: Payload: http://www.zixem.altervista.org/XSS/1.php?name=zxm<script>alert(1337);</script> Level2 屏蔽了script字符,可以使用大写和大小写混淆绕过 Payloads: http: 阅读全文
posted @ 2019-02-16 15:12 APT-101 阅读(601) 评论(0) 推荐(0) 编辑
XSS 漏洞介绍
摘要:概念: XSS 攻击:跨站脚本攻击 (Cross Site Scripting),为不和层叠样式表 (Cascading Style Sheets, CSS) 的缩写混淆。故将跨站脚本攻击缩写为 XSS。 XSS 是一种经常出现在 web 应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到 阅读全文
posted @ 2019-02-16 14:57 APT-101 阅读(1470) 评论(0) 推荐(0) 编辑
Dvna for Owasp top 10 2017
摘要:简介: DVNA(Damn Vulnerable Node Application),它是一款由Node.js打造的知名WEB漏洞测试平台,或许有些朋友已经使用过。它是用来给使用Node的WEB开发人员演示如何进行安全编码,以及让网络安全爱好者进行夺旗比赛的平台。其中,这个平台里包含常见的WEB漏洞 阅读全文
posted @ 2019-02-16 10:33 APT-101 阅读(667) 评论(1) 推荐(0) 编辑
文件类型解析漏洞防御与攻击(PHP)
摘要:简介: 解析漏洞主要是一些特殊文件被iis、Apache、Nginx等服务在某种情况下解释成脚本文件格式并得以执行而产生的漏洞,一般的思路都是用图片木马来欺骗服务器,上传webshell,达到提权的目的 目前所出现的解析漏洞主要是以下几个: 1. IIS5.x~6.x解析漏洞 使用iis5.x-6. 阅读全文
posted @ 2019-02-16 09:48 APT-101 阅读(1457) 评论(1) 推荐(0) 编辑
上传漏洞总结-upload-labs
摘要:介绍: Upload-labs是一个所有类型的上传漏洞的靶场 项目地址:https://github.com/c0ny1/upload-labs 思维导图: 小试牛刀: Pass-01 客户端js检查 思路:将PHP后缀的文件,改为.jpg格式的,然后上传抓包,将后缀名改回去,改成.php后缀的格式 阅读全文
posted @ 2019-02-15 17:57 APT-101 阅读(4914) 评论(1) 推荐(1) 编辑