数字证书及其在安全测试中的应用

数字证书及其在安全测试中的应用

3周前 (11-20) 中国互联安全响应中心

0x00 背景 做Web层面的安全测试,免不了要做中间人代理来截包分析。常用的工具有BurpSuit,Fiddler,Charles等等。关于这些工具的用法网上已经有很多介绍,这里就不赘述了。然而在测试一些安全性高的站点时,往往会遇到SSL通信的问题。这里对这些数字证书的问题进行一个小结,欢迎拍砖交流。 0x01 数字证书 数字证书主要在互联网上的用于身份验证的用途。 安全站点在获得CA(Cert

小谈移动APP安全

小谈移动APP安全

3周前 (11-20) 中国互联安全响应中心

0x00 背景 随着移动互联的扩张,移动APP承载了更多企业的终端梦。“用户手机安装APP以后,企业即埋下一颗种子,可持续与用户保持联系。”  种子是种下了,可要是它本身就是个[特洛伊木马]呢?试想你在某某知名APP平台下载安装一款知名APP,深更半夜突然响起了[THE PHANTOM OF THE OPERA]那会是怎样的一种情景! 通过这近一个月来的观察和实验,斗胆在这里简单介绍一下手机移动A

拆分密码

拆分密码

3周前 (11-20) 中国互联安全响应中心

0x00 研究范围 在WEB渗透中可能使用某个关键字为密码核心的密码(Mail,Vpn,后台登陆等) 0x01 实际数据分析 Gmail 500W明文密码 个人以往渗透实例 美国姓名top2000 在以往的渗透过中发现绝大多数企业的web服务是不允许注册,都是由某个人或系统分配的,而在这之中又有大部分的分配是人为分配,这就引出了我今天研究的主题《拆分密码》。 人们在分配密码的时候是无法做到计算机那

高效的安全,对企业践行DevSecOps的5条建议

高效的安全,对企业践行DevSecOps的5条建议

2个月前 (10-18) xmirror

近年来,在DevOps模型的指导下,将开发和运维团队结合在一起的公司在以更快的速度发布代码方面取得了普遍的成功。但这一趋势加剧了将安全集成到流程中的必要性,因为发布代码越快,漏洞也就越容易产生。而越来越多的企业和组织已经认识到,信息安全是企业存续发展的基石之一,因此希望将安全融合在DevOps之中,也就是我们所说的DevSecOps。 简单来说,若想要将安全集成到DevOps之中,需要采用工具和方

做到这5点,安全开发让你的应用不再漏洞百出 ​

做到这5点,安全开发让你的应用不再漏洞百出 ​

2个月前 (10-18) xmirror

如今,安全威胁的破坏力正以前所未有的速度随着信息化程度的加深而增长,扩大构建数字化业务通常会导致更大的受攻击面。要应对当前和未来的安全威胁,只依靠传统的安全产品投入已显得力不从心,除了购买安全产品,更重要的是安全意识的增强和安全流程的建设。在各种安全建设方案中,“安全能力前置”是明显的趋势。就像一幢建造时地基不稳、墙体不牢、地板塌陷的房子无法在建成后依靠几根柱子的支撑屹立不倒,缺少安全开发过程的应

打造自己的php半自动化代码审计工具

打造自己的php半自动化代码审计工具

2个月前 (10-09) 中国互联安全响应中心

0x00 PHP扩展进行代码分析(动态分析) 一.基础环境 二.使用PHPTracert 编辑php.ini,增加: 三.测试 CLI apache 四.phptrace分析 执行的代码如下: 执行顺序是: 参数含义: 名称 值 意义 seq int|执行的函数的次数 type 1/2 1是代表调用函数,2是代表该函数返回 level -10 执行深度,比如a函数调用b,那么a的level就是1,

羊年内核堆风水: “Big Kids’ Pool”中的堆喷技术

羊年内核堆风水: “Big Kids’ Pool”中的堆喷技术

3个月前 (09-17) 中国互联安全响应中心

0x00 前言 作者:Alex Lonescu 题目:Sheep Year Kernel Heap Fengshui: Spraying in the Big Kids’ Pool 地址: http://www.alex-ionescu.com/?p=231 前几天看到Twitter上推荐的一篇Alex lonescu写的博文,是关于两个新的内核堆喷射技术的,感觉很有启发,这个大牛写文章有点随意,

“道有道”的对抗之路

“道有道”的对抗之路

3个月前 (09-12) 中国互联安全响应中心

0x00 背景 今年央视3.15晚会曝光了道有道科技公司通过推送恶意程序,使手机用户被莫名扣费的问题,引起了广大手机用户的高度关注。 360移动安全团队对道有道广告SDK进行了分析与研究。截至2016年3月底,嵌入道有道广告SDK的应用软件累计达到80万个,从月增样本数量统计可以看出,在去年年中的一个月内就收录了近10万个。 0x01 广告形式 在道有道的官网上,介绍了其广告SDK的展现形式包括插

动手实现代码虚拟机

动手实现代码虚拟机

3个月前 (09-11) 中国互联安全响应中心

0x00 什么是代码虚拟化 虚拟化实际上我认为就是使用一套自定义的字节码来替换掉程序中原有的native指令,而字节码在执行的时候又由程序中的解释器来解释执行。自定义的字节码是只有解释器才能识别的,所以一般的工具是无法识别我们自定义的字节码,也是因为这一点,基于虚拟机的保护相对其他保护而言要更加难破解。但是解释器一般都是native代码,这样才能使解释器运行起来解释执行字节码。其中的关系就像很多的

每个网络安全从业者应该知道的12件事

每个网络安全从业者应该知道的12件事

3个月前 (09-01) 中国互联安全响应中心

即使再复杂的职业也无法跟上IT安全的变化速度。据统计,相关从业人员每年平均会遇到5000至7000个新型软件漏洞。去年的数据甚至达到了16555,让人为之惊叹。这意味着,在个人安全防御中每天都会产生13-45个漏洞。日复一日,年复一年。其危害和成千上万个独特的恶意软件程序相比更甚。这种威胁,持续不断,泛滥如潮,带来的后果就是影响公司信誉,被曝光在恶意媒体之下,造成公司财产损失。 然而,这并不是不可

保护自己之手机定位信息收集

保护自己之手机定位信息收集

4个月前 (08-20) 中国互联安全响应中心

0x00 名词解释 M.N:mobile number,11位数字组成,拨打国内默认在号码前加+86,为确定国家位置; IMEI:IMEI由15位数字组成(如862698014111114),全球唯一,一一对应每台手机,前6位是“型号核准号码,代表手机机型”(如862698),接着2位代表产地(如01),之后6位代表生产顺序号(其实就是厂家的SN)(如411111),最后1位数是校验码(如4)。

应对CC攻击的自动防御系统——原理与实现

应对CC攻击的自动防御系统——原理与实现

4个月前 (08-20) 中国互联安全响应中心

0x00 系统效果 此DDOS应用层防御系统已经部署在了http://www.yfdc.org网站上(如果访问失败,请直接访问位于国内的服务器http://121.42.45.55进行在线测试)。 此防御系统位于应用层,可以有效防止非法用户对服务器资源的滥用: 只要是发送高频率地、应用层请求以实现大量消耗系统资源的攻击方式,皆可有效防御。 其实现的基本思想是: 定期分析所有访问用户在过去各个时间段

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享