- 博客(50)
- 资源 (6)
- 收藏
- 关注
RSS订阅
原创 Android App安全威胁分析及最佳实践
导航前言常见安全威胁攻击面分类一、导出组件最佳实践二、文件读写最佳实践三、logcat日志最佳实践四、与其他APP交互最佳实践五、网络交互最佳实践六、UGC内容最佳实践七、服务端API最佳实践八、运行环境最佳实践安全技术参考前言我们的生活已经离不开App,且App承载了我们的金钱、私人信息、家庭视频监控、电子门锁、智能车钥匙等太多东西。作为App的运营者必须将App安全性放在重要位置,否则因为安全漏洞导致用户信息泄露,不仅会造成用户流失、品牌受损,还会面临监管部门的巨额处罚。App安全的重要性不言而
2022-05-09 11:47:53
809
原创 chrome浏览器模拟鼠标点击插件clicker
主要功能:浏览器插件自动点击网站,将流量导入代理扫描器进行扫描源码:https://github.com/zzzzfeng/Clicker#用法[email protected]:zzzzfeng/Clicker.git-在chrome浏览器开发者模式下以文件夹方式加载插件-开启插件爬虫功能-打开网站,比如https://www.mi.com...
2020-04-15 11:33:52
25438
4
原创 浅谈企业网络安全边界
前言企业网络安全关键在找准安全边界(攻击点):边界的左边是攻击者(脚本小子、骇客、APT攻击),边界的右边是网络资产、信息资产。企业网络安全建设则在安全边界处设防,尽可能做到安全边界不被攻破。然而随着业务增多、技术演变、模式调整等因素,安全边界越来越多,也越来越模糊。但我们仍然要梳理出企业网络所有的安全边界,并全部加以防护,毕竟网络安全遵循短板效应,挂一漏万。本文结合自身多年乙方安全和...
2018-09-20 09:36:21
19389
原创 Android分区简介
Android手机和平板的内部存储分区列表如下:/modem、/bootloader、/boot、/system、/recovery、/data、/cache、 /misc、/sdcard 、/sd-ext/modem实现手机必需的通信功能,通常所的刷RADIO就是刷写modem分区,在所有适配的ROM中这部分是不动,否则会造成通话不稳定/bootloaderbootloader分区分成两个部分,分别叫做primary bootloader和secondary stage bootloader.
2021-07-13 09:22:43
1984
原创 Android deeplink安全
Android deeplink用来从浏览器中自家网站直接打开自家APP,在微信各种封杀情况下,一般需要通过deeplink方式打开APP实现上,通过声明导出activity组件,及相关intent-filter,如下<intent-filter> <action android:name="android.intent.action.VIEW"/> <category android:name="android.intent.category.BRO
2021-04-06 18:41:53
825
原创 codeql使用指南
目录简介hello world1、安装codeql-cli 和 ql库2、创建源码数据库3、编写hello world4、执行查询进阶1、扫描结果快速定位到源码2、用作白盒扫描器3、开发自己的查询代码4、分析GitHub上的开源项目简介codeql是一门类似SQL的查询语言,通过对项目源码(C/C++、C#、golang、java、JavaScript、typescript、python)进行完整编译,并在此过程中把项目源码文件的所有相关信息(调用关.
2021-03-22 10:00:44
7136
2
原创 复杂架构下json解析不同导致的bug
http smuglling(请求夹带)漏洞形成原因即前端服务器和后端服务器对http分段传输处理机制不同类似的,复杂架构下json解析不同也会导致bug,参考学习https://labs.bishopfox.com/tech-blog/an-exploration-of-json-interoperability-vulnerabilities...
2021-03-08 16:19:07
140
原创 蓝牙BLE理论及相关工具
BLE服务BLE将自身服务归于多个service中,每个service中包括若干个characteristics;service和characteristic均使用16位UUID标识;characteristic是存储数据的位置,characteristic中可以包括descriptors;descriptors有两类UUID 0x2901和0x2902,前者可以保存数据,后者决定当characteristic改变时是否广播(回调通知)获取设备实现的所有characteristics UUID没有限
2021-02-26 17:11:19
583
原创 js pack代码结果浅析
js源码打包的目的是封闭代码实现细节,仅导出对外使用的模块,类似面向对象语言中的类1、以下是js打包的基本结构(function() { function r(e, n, t) { function o(i, f) { //导出依赖,然后导出本模块 } for (var u = "function" == typeof require && require, i = 0; i < t.lengt.
2020-12-10 11:25:08
603
原创 基于代理的漏洞扫描器
基于代理的漏洞扫描器运行模式利弊易于扫描移动端APP API的安全漏洞易于结合登录session进行漏洞扫描但相比与基于爬虫的漏洞扫描器,需要PC端/手机端配合触发网络请求在企业内部,代理扫描器可作为安全能力输出,提供给业务部门使用基于mitmproxy的扫描器mitmscan设计轻量级: 未使用数据库和消息队列Http json包存储在logs目录下扫描进度由scannerlog文件控制扫描结果保存在scannerresult文件中mitmscan.py,基于mitmpro
2020-08-17 18:11:49
597
原创 web缓存欺骗
前言是否遇到过,打开登录过的某网站,出现的却是别人的信息?是否被要求过接口返回的手机号要用星号打码?如果网站被黑客用缓存攻击,就可能展示的是别人的信息;若返回的手机号被打码,那泄露的这些信息就没那么大的影响什么是web缓存欺骗缓存是很多网站都会开启的,可以减少网络传输,提升用户体验等等但若缓存和服务器的配置存在如下情况,则有可能被攻击1、攻击者登录过example.com网站,然后打开http://www.example.com/home.php/non-existent..
2020-08-06 16:56:31
292
原创 http请求走私(request smuggling)原理解析
原理一般服务器端架构为:web服务器 + 应用服务器,web服务器比如nginx,apache httpd等(也可以叫反向代理),应用服务器比如apache tomcat,spring cloud等。web服务器用来处理高并发客户端请求,并转发给后端应用服务器。通常为了减少网络连接次数,提高处理速率,前端浏览器和web服务器之间会保活,即keep-alive;web服务器和应用服务器之间的tcp连接也会保活。保活:即复用tcp连接,在一个连接里面传输多个http请求那么问题来了,一个tcp连
2020-08-04 18:14:37
1335
原创 wsl/Ubuntu20.04 wget/curl出现openssl wrong signature type错误
错误如下原因是服务器的openssl支持的安全等级较低解决方法是修改openssl配置降低默认安全等级(CipherString = DEFAULT:@SECLEVEL=1)如下图,修改sudo vi /etc/ssl/openssl.cnf#放在文件头openssl_conf = default_conf#放在文件尾[ default_conf ]ssl_conf = ssl_sect[ssl_sect]system_default = ssl_defa
2020-07-28 18:40:01
2143
原创 nginx配置错误导致的目录穿越漏洞
背景nginx之前被发现alias配置指令使用不当,会导致目录穿越漏洞,参考:https://github.com/yandex/gixy/blob/master/docs/en/plugins/aliastraversal.md本文针对对此问题进行分析复现及分析版本信息:nginx/1.17.10 (Ubuntu)nginx配置文件增加内容: location /hd { alias /var/www/html/dd/;} 然后访问http://.
2020-07-15 18:32:10
2410
原创 SSO(single-sign-on) and NTLM
什么是单点登录说个简单场景:在account.xiaomi.com输入账号密码登录之后,①打开dev.mi.com并点击登录,这时候不需要再次输入账号密码就可以登录;②打开iot.mi.com并点击登录,也不需要再次输入账号密码就可以登录这就是单点登录,dev/iot均使用了account账号体系,只需要登录一次(不过在dev或iot注销登录之后,account也会被注销,这个逻辑显得有点奇怪)单点登录可复用的技术有oauth/saml等好处最明显的好处就是使用方便,免去了多次输
2020-06-11 17:37:12
391
原创 Android&Ios抓https包
AndroidAndroid 7之后,用户安装的证书在APP的默认配置下是不被信任的,只能通过重打包APP,或root手机之后导入证书,或frida脚本hook绕过导入证书到system分区,可参考magisk的mount大法adbshell'umount/system/etc/security/cacerts'adbshell'cp-pR/system/etc/security/cacerts/data/local/tmp/'adbshell'cp/data...
2020-05-26 16:44:25
1756
原创 Ubuntu18.04 VNCserver配置
环境Ubuntu 18.04桌面版本地桌面使用gnome,vncserver使用xfce4作界面,xfce相对轻量级vncserver使用tightVNC安装sudo apt install xfce4 xfce4-goodiessudo apt install tightvncserver使用初次执行vncserver,会提示输入密码,用来客户端登录然后vncserver -kill :1 关闭掉,接着修改配置修改~/.vnc/xstartup,(该文件需要执行权限
2020-05-11 14:58:53
1407
原创 远程终端管理工具screen & tmux使用
在linux服务器长时间执行脚本,需要看详细日志,screen较为方便。若要分多个屏,tmux更方便#screen开启日志 vi/etc/screenrc 增加一行:logfile/tmp/screenlog_%t.logscreen-L-tlogtag-Syournamecmd 开启日志-ls找到任务id-rid恢复-Did远程deta...
2020-03-19 17:24:18
306
原创 python解析http包并发送
复制fiddler等抓包软件中的请求数据,可使用下面代码直接重发#coding:utf8import requests,urllib3import sys, osurllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)#解析http协议使用requests发送def sender(content,...
2020-03-18 09:28:39
1842
原创 samesite cookie防御CSRF漏洞
Chrome 这几天发布的 80 版本更新了 “Same Site Cookie” 的安全特性下面是一篇介绍文章https://textslashplain.com/2019/09/30/same-site-cookies-by-default/这个特性会导致:1、web开发者需要重新考虑某些跨域读取数据功能2、依靠third-party cookie的广告商(比如)可能行不通...
2020-02-20 10:01:25
3940
原创 android app 升级劫持
Android APP升级劫持劫持Android APP升级,引到用户安装恶意APPAPK升级过程服务器检查是否有升级包:https/http,返回包下载链接+包hash值 下载升级包:https/http 校验包hash值,保存SDCard:攻击者的机会 启动系统安装器安全性分析一般APP在保存到SDCard或启动安装器之前都会校验升级包hash值,也是最安全的做法 有...
2020-01-07 11:55:33
729
原创 基于androguard编写Android app漏洞扫描工具
背景androguard是Android静态分析工具,可以解析APK/DEX文件,并提供相关操作API比如get_xref_from和get_xref_to,可以得到某个函数被哪些函数调用过和调用过哪些函数。通过合理的使用这些API,可以帮助我们确定受关注的接口是否被某些类/入口调用过,自动化发现漏洞(类似工具JAndroid)源码阅读androguard API文档对整个架...
2019-12-17 17:28:05
1621
2
原创 Electron(nodejs)桌面应用安全性checklist
关于electronelectron是chromium和nodejs的组合,主要使用了chromium的浏览器功能,并使用nodejs扩展了其文件系统访问、命令执行等功能。由于使用的是chromium的content模块(渲染库),而不是完整的浏览器,所以同源策略需要electron自行控制;而且其扩展功能更需要仔细过滤及控制安全性checklist一、定时更新electro...
2019-10-21 11:15:08
2024
2
原创 python多线程、多进程、异步(协程)简单使用
1、多线程、多进程I/O密集(下载、读写文件)任务使用多线程CPU密集任务使用多进程import threadingdef runner(p): print(p)t = threading.Thread(target=runner, args=('11',))t.start()t.join()import multiprocessingp = multip...
2019-09-23 17:57:20
731
原创 mtopsdk(淘宝系android app使用的sdk)强迫请求通过代理进行抓包
背景android app抓包,会出现http包不走fiddler等代理的情况,譬如淘宝系、支付宝系appetao app使用mtopsdk(https://help.aliyun.com/document_detail/69785.html),https://acs.m.taobao.com/下的请求都抓不到本文分析了com.taobao.etao,最终可以通过fiddler、bur...
2019-05-22 19:05:26
22193
12
原创 数据隐写到图片中
背景jpg图片文件开头标志为SOI,结束标志为EOI,直接将数据添加文件结尾即可(不影响图片的正常显示)使用copy /b img.jpg + data.data result.jpg 或者cat data.data >> img.jpg 即可python脚本png图片整个为分块结构,其中有四块是必须的 PNG files start with an 8 b...
2019-05-07 10:03:55
1148
2
原创 扫描二维码登录
危害:任何使用扫描二维码登录功能的网站,均存在用户钓鱼风险;提供三方网站联登功能的,风险更大攻击者使用各种手段获取登录二维码及相关参数,将二维码展示给用户,用户扫描、登录后,攻击者拿到会话tokendemo代码:https://github.com/zzzzfeng/qrcode_login一、扫描二维码登录流程1、浏览器从服务器取得二维码,并附带当前二维码标识A(比如md5...
2019-05-07 09:56:50
3016
原创 referer检测&url跳转
一、检测referer的场景》缓解CSRF攻击若referer为空,或referer不属于自身域及子域,则拒绝后续操作(更改密码、更改昵称)》加固以jsonp方式获取信息譬如,链接https://passport.jd.com/loginservice.aspx?callback=jQuery8483115&method=UserInfo&_=152291428...
2019-05-07 09:32:10
5799
转载 android SDK/APP 涉及用户隐私需要关注的点
可以分“设备信息”、“应用信息”、“传感器信息”、“账号信息”、“网络相关信息”五个类别进行总结1、应用信息包括安装列表(getInstalledPackages/pm list packages)和运行列表(getRunningAppProcesses)2、设备信息:Build相关;Locale相关;分辨率;TelephonyManager相关;android_id;getLine1Nu...
2019-04-17 12:05:46
773
原创 js+formdata+ blob自动上传文件
代码参考http://note.youdao.com/noteshare?id=889c43526b412fd47bf475b9b42e664d
2019-01-25 11:46:45
2555
原创 XSS多姿势执行alert
以下归纳了多种执行alert函数的方式(前提是获得js执行上下文) ,可用于xss filter bypass1、常规alert<a href="javascript:alert()">XSS Test</a>2、字符串操作Unicode字符以"\u"开头,例如\u00A9。Unicode码位用"\u{}"表示,例如\u{2F804}十六进制以"\x"开头,
2018-10-15 16:07:23
6377
4
原创 谈谈Android https的安全使用
前言https利用PKI体系对web通信进行认证和加密,认证和加密的重要性不言而喻。在实现https过程中,证书校验这一环节起到至关重要的作用,但经常会出现各种问题。本文梳理了Android应用中校验https证书过程会出现的各种情况首先简单说下证书校验逻辑:如下图,网站使用的https证书存在某个证书路径下,最顶层的是全球公认的根证书(Root CA),接着是根证书CA签发的二级证书...
2018-10-11 11:09:33
648
翻译 分享一首美丽的小诗You're Not Late! You're Not Early
Do you think you are going No Where in Life?不知道生活的目标?STOP!停下来Take a deep breathe深呼吸放松下THINK!思考下 New York is threehours ahead of California, but that does not make California slow纽约...
2018-10-11 10:46:11
2148
原创 资源分享-iot安全wiki,web安全wiki,app安全wiki
1、web安全 https://appsecwiki.com/jwt https://appsecwiki.com/#/serversidesecurity?id=json-web-tokenjwt https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/ 篡改算法为none/用对称算法替...
2018-10-09 11:12:54
723
原创 浅谈业务防刷
背景直播间的观众人数越多,主播房间的热度就越高;越多人关注的主播,就可能被更多的人关注;有账号就能领鱼丸;视频/文章被观看数量越多,就可能被越多的人观看;新用户送优惠等等,这些场景都需要防止(灰产)刷量增加同一IP次数限制,增加图形验证码,增加短信验证码,增加设备指纹判断等,这些是常用且通用的手段然而限制IP的对大区域网络公用IP不太友好,容易误伤,灰产业能轻易绕过;图形验证码不但可以...
2018-10-08 18:05:56
3290
3
原创 web安全中的竞争条件(Race Condition)
前言之前linux内核竞争条件漏洞"Dirty COW",直接导致了普通用户提权到root权限。这是系统级别的安全,然而web安全同样存在竞争条件漏洞场景本文就谈谈web竞争条件漏洞的场景及修复一、线程安全&竞争条件1、先来看看线程安全,下段代码用两个线程操作一个公共变量infosimport threadingdef thread1(info): for i ...
2018-09-20 16:05:52
868
原创 etherum智能合约什么时候变得不“智能”
更新:https://aumasson.jp/data/talks/balccon18.pdf一、写错构造函数函数默认属性为public,变量默认属性为internal构造函数拼写错误,导致合约易主,例如合约ZiberCrowdsale,的构造函数Crowdsale(名称不一样)合约完整code:https://etherscan.io/address/f0a924661b...
2018-09-20 09:53:26
389
原创 OpenSSH用户名枚举及其检测方法
原文:https://seclists.org/oss-sec/2018/q3/125最新版本OpenSSH服务在接收到畸形的认证请求包时,会根据用户名的存在与否给出不同的响应,由此导致通过SSH服务枚举服务器的用户名。而/etc/passwd文件中存在的用户名均可验证,因此也可以用来枚举服务1、验证方法1、下载验证python脚本:https://bugfuzz.com/stuff/...
2018-08-17 14:52:05
9184
原创 Android APP几点实用的加固技巧
1、防网络代理抓包网络请求配置Proxy.NO_PROXY,可以保证app的网络数据不经过wifi设置的代理工具(最常见的抓包方式)webview,HttpURLConnection,okhttp等框架均可以配置NO_PROXY 2、网络请求数据加上签名原始请求 http://xxx.com/xx.php?p1=v1&p2=v2加签名后 http://xxx.com...
2018-08-15 18:22:11
1333
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人