- 博客(853)
- 资源 (5)
- 收藏
- 关注
RSS订阅原创 Python之痛不眠不休一
经受的折磨,会成倍的归还,为了生计,曾经有过无奈,为了在这大都市有个安稳的工作苦练,曾经意气风发,内心的渴望还是没褪去,可因为工作的繁忙技术上的提升时间少之又少,在这里记录下3周历程。首先解决工具问题,这里用到网上的破解版开发工具。http://www.opdown.com/soft/220336.htmlPyCharm2020 专业版破解下载解压点击pycharm-professional-2020.1.exe,根据提示进行安装,安装完成启动软件,点击evaluate fo...
2020-06-13 01:06:06
521
原创 未来一个月重点研究
1.GDPR项目深度参与建立流程,不合规处的提出并提出解决方案2.CVE漏洞测试方案,如何挖掘CVE漏洞3.扫描平台的建设,提出扫描规则,输出工具,Python技术开发能力提升4.测试安全能力培训,安全测试用例编写5.防root方案的提出及测试,重点关键项目的安全问题...
2019-12-27 18:24:33
412
原创 个人隐私数据合规
加州通过全美最严厉隐私保护法案《2018年加州消费者隐私法案》(“CCPA”)http://www.sohu.com/a/242233916_721493一个用户至少“值”100美元,美国最“贵”数据法案CCPA明年实行http://baijiahao.baidu.com/s?id=1648071905113277949&wfr=spider&for=pc...
2019-11-18 20:44:37
1561
原创 Android逆向之Vdex转dex
如何将Vdex 文件转成 dex,有时我们需要逆向应用查看代码,又苦于反编译出来看不到真实的源码,如下anestisb大神写的工具可以解决我们的问题。https://github.com/anestisb/vdexExtractor一般在Ubantu上编译,如果是windows电脑可以安装VM虚拟机,在虚拟机上安全Ubantu,安装好系统,下载代码,git clone https://gi...
2019-10-11 21:55:22
4993
1
转载 OWASP TOP 10漏洞及防范
A1 注入 InjectionWeb安全头号大敌。注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。注入漏洞通常能SQL查询、LDAP查询、OS命令、程序参数等中出现。SQL注入实例防范:1.使用安全的API,避免使用解释器或提供参数化的接口(...
2019-06-19 15:16:15
2685
转载 跨站脚本攻击(XSS) 漏洞原理及防御方法
XSS跨站脚本攻击:两种情况。一种通过外部输入然后直接在浏览器端触发,即反射型XSS;还有一种则是先把利用代码保存在数据库或文件中,当web程序读取利用代码并输出在页面上时触发漏洞,即存储型XSS。DOM型XSS是一种特殊的反射型XSS。危害:前端页面能做的事它都能做。(不仅仅盗取cookie、修改页面等)1、 挖掘经验XSS挖掘的关键在于寻找有没有被过滤的参数,且这些参数传入到输出函数...
2019-06-19 14:40:40
3065
转载 SQL 注入防御方法总结
SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。SQL 注入可以参见:https://en.wikipedia.org/wiki/SQL_injectionSQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。1. 演示下经典的SQL注入我们看到:select i...
2019-06-19 14:04:15
8231
1
转载 CSA云计算关键领域安全指南4.0 (中文版)
飞絮 赛博朔方 2017年7月28日,CSA国际云安全联盟在广州举办CSA《云计算关键领域安全指南V4.0》(简称:《云安全指南》4.0)发布会。 《云安全指南》第1版在2009年4月1日发布,也就是在2009年的RSA会议上CSA成立后的第一个月。在当时尚无一个被业界广泛认可和普遍遵从的国际性云安全标准的形势下,《云安全指南》高屋建瓴而又不乏具体的策略和实施建议,无...
2019-05-21 16:52:32
1319
转载 https://blog.csdn.net/wutianxu123/article/details/82597337
web安全/渗透测试--1--web安全原则版权声明:本文为博主原创文章,转载本站文章请注明作者和出处,请勿用于任何商业用途。 https://blog.csdn.net/wutianxu123/article/details/82597337web安全原则安全应该是系统开发之初就考虑的问题。换句话说,安全是一个成熟系统的必备特性。在项目说明中不谈安全,并非因为不需要,而是因为安全都是隐...
2019-04-30 15:19:22
2598
转载 渗透测试笔试题
https://blog.csdn.net/sun8890446/article/details/80817102主要讲解内容[java]view plaincopy1.什么是WebShell? 2.什么是网络钓鱼? 3.你获取网络安全知识途径有哪些? 4.什么是CC攻击? 5.Web服务器被入侵后,怎样进行排查? 6.dll文件是什么意思,有什么用?...
2019-04-30 14:49:39
4335
1
转载 笔试题————1、网络安全、Web安全、渗透测试笔试总结
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程!本篇文章主要涉及一下几个方面: 对称加密非对称加密? 什么是同源策略? cookie存在哪里?可以打开吗 xss如何盗取coo...
2019-04-30 14:42:21
3238
转载 2015年腾讯安全技术笔试经验分享
https://blog.csdn.net/u014721662/article/details/44755453近日抱着试试看的心理参加了腾讯安全技术笔试。和大家分享一下。 虽然没有精心准备,但还是认真完成了当天的考试。在线考试两个小时,全程都要开启摄像头,弄得有点小紧张。题目和去年相似,知识面很广,主要考了XSS漏洞 、SQL注入和网络安全基础的一些题目。不同的是增加了大量的...
2019-04-30 13:34:04
955
转载 Android预置Apk方法
因为工作需要,经常要开发和合入系统App,所以在此开篇作为收集和记录Android合入系统应用的方法,以备日后查阅。一、预置apk方法Case 1:如何将带源码的APK预置进系统在 packages/apps 下面以需要预置的 APK的 名字创建一个新文件夹,以预置一个名为Test的APK 为例 将 Test APK的Source code 拷贝到 Test 文件夹下,删除 /bin...
2019-04-08 15:47:08
427
转载 Android odex优化提高首次开机速度
现在很多Android都需要预装很多apk,这些apk主要在/system/app,/system/priv-app/,/system/vendor/app等目录下。如果没有做odex优化,在首次开机时,systemService.java 会调用PackageManagerService.java对这几个目录下的apk多dexopt的优化,生成oat文件。apk越多,首次开机的时间也就越长。首...
2019-04-02 16:08:38
1397
转载 HTTP与HTTPS的区别,详细介绍
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了...
2019-04-01 10:56:28
243
原创 app代码安全保护
今天给大家讲一下app防破解技术,很多开发者在app的安全层面知道的并不多,导致自己费了很多时间写的apk被轻易破解,代码被盗用分析关键信息。现在从以下几点来阐述:1.Java代码是比较容易反编译的,为了很好的保护Java代码,我们往往会对编译好的class文件进行混淆处理在app的build.gradle文件设置 minifyEnabled true,并在proguard-rules....
2019-03-31 14:55:59
731
转载 android APK安全性校验
扫描上面公众号查看更多面试技术分享,为你的人生加油!努力APK安全性校验获取签名证书keystore的SHA1值和完整性校验获取的classes.dex的SHA-1哈希值字符串 建议后台保存初始值与前端获取sha1值做判断是否可以进行下一步操作1. 签名证书文件校验码获取签名证书的SHA1值 public static String getSign(Context...
2019-03-27 15:48:52
726
转载 大厂的Android面试题整理
扫描上面公众号查看更多面试技术分享,为你的人生加油!努力话不多说,直接上干货。某知名在线教育公司 介绍一下自己项目中MVP如何实现; 自定义View流程; 说说项目中遇到的性能优化、内存泄漏和内存溢出; native和h5交互怎么做; 事件分发流程; http、https的区别,post、get区别; 算法:两个单链表相交...
2019-03-27 15:45:31
632
转载 使用Handler造成内存泄露的分析和解决办法
Android中使用Handler造成内存泄露的分析和解决办法 问题描述:This Handler class should be static or leaks might occur (anonymous android.os.Handler)(参考 https://my.oschina.net/liucundong/blog/294127) 特性:当Activity被fin...
2019-03-26 16:12:26
369
转载 企业安全实战】开源HIDS OSSEC部署与扩展使用
0x01 概述关于HIDS,并不是一个新鲜的话题,规模较大的企业都会选择自研,而如果你刚刚接手一个公司的网络安全,人手相对不足,那么OSSEC能帮助你安全建设初期快速搭建一套安全系统,后期如果遇到瓶颈也可以考虑自研去解决一些问题。0x02 主要功能介绍OSSEC的主要功能包括日志分析、文件完整性检测、Rootkit检测以及联动配置,另外你也可以将自己的其他监控项集成到OSSEC中。...
2019-03-26 15:59:11
1652
转载 APK的安全性(一)--如何攻击
APK的安全性可以通过修改客户端文件篡改客户端行为。攻击者可以让客户端显示自己制作的钓鱼网站,偷取用户信息以下攻击部分摘自知乎:https://www.zhihu.com/question/41368839/answer/112182560防御部分摘自如下博文:http://blog.csdn.net/jiangwei0910410003/article/details/484...
2019-03-25 15:32:32
1063
转载 如何让你的Android应用更安全
https://yq.aliyun.com/articles/520367?utm_content=m_1000006417如何让你的Android应用更安全 作为Android应用开发者,开发出一款用户喜欢、满意的应用是一件值得开心和满足的事情,而在功能强大的基础上,如何保证应用更安全也显得尤为重要。根据实际开发过程,我们将从以下几个最佳实践来让我们的应用“更加安全”。1.避免暴露...
2019-03-25 15:25:34
620
转载 Android 应用安全开发之源码安全
0x00 简介Android apk很容易通过逆向工程进行反编译,从而是其代码完全暴露给攻击者,使apk面临破解,软件逻辑修改,插入恶意代码,替换广告商ID等风险。我们可以采用以下方法对apk进行保护.0x01 混淆保护混淆是一种用来隐藏程序意图的技术,可以增加代码阅读的难度,使攻击者难以全面掌控app内部实现逻辑,从而增加逆向工程和破解的难度,防止知识产权被窃取。代码混淆技术主要...
2019-03-25 15:23:31
478
转载 Android高性能编码 - 第八篇 移动端安全规范
第八篇安全Android内建的安全机制可以显著地减少了应用程序的安全问题。通过在默认的系统设置和文件权限设置的环境下建立应用,可避免为一系列的安全问题寻找解决方案。一些帮助建立应用的核心安全的特性如下:l Android应用程序沙盒,将应用数据和代码的执行与其他程序隔离。l 具有鲁棒性的常见安全功能的应用框架,例如加密,权限控制,安全IPCl 使用改进的虚拟机等技术,减少...
2019-03-25 15:17:59
283
转载 【安全开发】IOS安全编码规范
1.目的为了使系统开发人员能够编写符合安全要求的代码,以降低代码安全漏洞,减少代码被利用的可能性,从而提升各系统安全水平,符合国家安全合规性要求,保障产品安全稳定运营及信息安全,特制定本规范。2.引用规范 《信息安全技术移动智能终端个人信息保护技术要求》 《YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》 《YD/T 2307-2011 数字移...
2019-03-25 15:15:22
913
转载 安全开发】java安全编码规范
1输入验证和数据合法性校验程序接受数据可能来源于未经验证的用户,网络连接和其他不受信任的来源,如果未对程序接受数据进行校验,则可能会引发安全问题。1.1避免SQL注入使用PreparedStatement预编译SQL,解决SQL注入问题,传递给PreparedStatement对象的参数可以被强制进行类型转换,确保在插入或查询数据时与底层的数据库格式匹配。String sqlStri...
2019-03-25 15:13:42
909
转载 一个人的企业安全建设之路
前言如今很多中小型互联网公司对安全需求不高,安全资源贫乏,领导只重视业务忽略安全,在这种情况下可能安全人员很难立足,推动公司做好安全,从而进入了进退两难的窘境,目前从事国内某车联网公司,公司团队在300人左右,生产服务器数量在千余台级别,业务线冗长,以下给各位介绍一下个人的工作经验:一、熟悉环境该部分为后续工作做铺垫,所以此部分工作也是十分重要的,首先需要有如下三个图:1...
2019-03-25 15:11:38
1387
1
转载 互联网业务安全
https://www.cnblogs.com/shilxfly/p/7196864.html安全是产品的一个特性,当一个产品其他方面都做得很好的时候,安全可能成为产品的核心竞争力。例如搜索引擎,电子邮箱。好的安全方案:可以有效地解决问题、良好的用户体验、优秀的性能。例如:复杂密码(对抗暴力破解、防止密码中包含个人信息)业务逻辑安全:业务逻辑问题是一种设计缺陷,在产品开发过程中,可以考...
2019-03-25 14:46:27
449
转载 安全开发流程(SDL)
https://www.cnblogs.com/shilxfly/p/7196875.htmlSDL:Security Development Lifecycle 安全开发生命周期培训 要求 设计 实施 验证 发布 响应 核心安全培训 确定安全要求 创建质量门/错误标尺 安全和隐私风险评估 确定设计...
2019-03-25 14:44:50
1864
转载 安全运营
安全运营 —— 贯穿产品研发、业务运行、漏洞修复等一系列环节,实行系统的管理方法和流程,将各个环节的安全防控作用有机结合,保障整个业务的安全性。Secure at the Source → Find and Fix & Defend and Defer1、Secure at the Source 对应安全开发流程(SDL),它能从源头降低安全风险,提高产品的安全质量。2、Fin...
2019-03-25 14:43:21
1896
转载 Python 自动化加固流程
这里的加固指的是那种需要把文件上传到第三方网站上, 等它加固完成之后再下载下来的场景.这里就以梆梆加固为例, 通过Python脚本将这个过程自动化起来.既然牵扯到第三方的网站, 那么这个脚本绝大多数的操作都跟网络请求相关. 简单设计一下脚本的结构, 先封一个基类出来对外提供一些基础的网络操作, 方面以后扩展使用.子类根据实际的业务场景对外提供功能方法.根据梆梆加固的业务流程来拆解脚本需要做的步...
2019-02-21 09:50:24
498
转载 Android 安全规约
Android 安全规约汇总了一些安全工具扫描的规则, Android的安全漏洞以及实际项目中需要注意的安全问题. 并分筛选出市面上加固方案和360火线扫描能够覆盖到的, 和需要手工检查的问题. 具体分布如下表所示.规约可以作为开发时的安全手册, 也可以作为上线前的安全问题checklist.汇总 程序安全 基础环境安全 数据安全 数据传输火线覆盖 3 ...
2019-02-21 09:45:18
223
转载 Android中的Apk的加固(加壳)原理解析和实现
一、前言今天又到周末了,憋了好久又要出博客了,今天来介绍一下Android中的如何对Apk进行加固的原理。现阶段。我们知道Android中的反编译工作越来越让人操作熟练,我们辛苦的开发出一个apk,结果被人反编译了,那心情真心不舒服。虽然我们混淆,做到native层,但是这都是治标不治本。反编译的技术在更新,那么保护Apk的技术就不能停止。现在网上有很多Apk加固的第三方平台,最有名的应当属于...
2019-02-21 09:19:42
563
原创 Android逆向工程Smali代码的规则
Smali和逆向分析https://blog.csdn.net/u012573920/article/details/44034397Smali语法详解https://blog.csdn.net/s13383754499/article/details/79148790Android逆向工程:实战!讲解修改插入Smali代码的规则,带你快速进行二次改造!https://blog...
2019-02-19 17:48:00
333
转载 Android逆向实例笔记—续力破解三个Android程序
https://blog.csdn.net/qq_24349189/article/details/52304176Android逆向实例笔记—续力破解三个Android程序
2019-02-15 18:39:42
225
原创 testhttpurlconnection
<?xml version="1.0" encoding="utf-8"?><manifest xmlns:android="http://schemas.android.com/apk/res/android" package="com.imooc.nick.testhttpurlconnection"> <uses-permissio
2019-02-13 19:26:24
203
原创 Android安全机制
Android安全机制https://blog.csdn.net/chenjian723122704/article/details/78982093
2018-11-10 16:01:29
220
原创 Android静态漏洞安全检测
Android静态漏洞安全检测https://blog.csdn.net/u013107656/article/category/6257625Android 安全测试思路总结(攻击面)https://blog.csdn.net/u010651541/article/details/53142252...
2018-11-10 15:20:16
889
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人