一、背景 在近幾年,隨著數字信息時代的飛速發展,人們越來越關注個人隱私和數據安全。各國政府和監管機構為了保護消費者的隱私權益,對APP的合規要求提出了更高的標準,特別是關于敏...
發簡信
IP屬地:北京
-
如何分別使用xposed和frida來實現對APP采集mac地址的監控 -
dvb的審計筆記1(靜態代碼審計)一.介紹 dvb是一個故意存在漏洞的 Android 應用程序,可以認為是APP靶機。它有一個官方文檔,在APP的審計過程中,可以參考官方文檔進行,官方文檔中介紹了APP存在...
-
一次硬件審計中發現的一些漏洞
一.背景 此次是針對一款智能設備進行的審計,審計范圍包含服務端、APP、硬件、固件。 二.發現的一些問題 作為一款新上市的設備,仍然出現了一些智能設備中常見的問題。 例如幾個...
-
IOT設備的安全標準
★禁止繞過系統安全機制的功能 1、禁止存在繞過正常認證機制直接進入到系統的隱秘通道,如:組合鍵、鼠標特殊敲擊、連接特定接口,使用特定客戶端、使用特殊URL等。 2、 禁止不可...
-
某廠商游戲協議逆向分析案列
此分析結果適用于某廠旗下部分游戲,比較典型的如某精英,不同游戲協議字段有區別,這里只列出主要的協議格式,以及分析的方式和結果。 改廠旗下游戲,核心交互協議有TCP和UDP兩種...
-
如何對未知協議進行逆向分析
背景 工作上由于需要對一些DPI的規則進行維護,很多時候需要對一些非標準協議進行逆向分析,從而找到非標準協議中的可識別內容。例如典型的是各種游戲協議。 因此多多少少接觸到了一...
-
如何在APP端檢測網絡風險?
一、背景 app端進行網絡的檢測,主要是網絡安全層面進行檢測,比如典型的,通過app端去檢測網絡內是否存在中間人竊聽、dns劫持。通過這種方式,可以避免app在網絡傳輸中遇到...
-
某路由器加密信息泄露分析背景: 分析某路由器產品的時候,發現部分通過aes加密的信息,可以通過一些技術手段獲取明文。從分析接口和路由器功能來看,這部分加密信息可能還是核心業務邏輯中的重要數據。 具體...
-
sslsplit工具
項目地址:https://github.com/droe/sslsplit[https://github.com/droe/sslsplit] sslsplit介紹: SLs...
-
透明ssl代理工具使用工作項目上,需要在linux上搭建一個透明代理,用于代理ssl請求,并且使用自定義證書解密ssl請求。在網上找了一些工具試用,有開源的,也有不開源的,這里介紹下這個Polar...
-
sql注入的實例和sqlmap使用
事情經過: 前幾個月有一個云端管理后臺項目上限,在做接口審計的時候,竟然發現了一個高危的sql注入漏洞。 因為之前我們業務線服務端業務主要是做APP接口相關,可自定義輸入的位...
-
Android檢測三方庫行為前言 android程序中調用了很多第三方庫,由于工信部的監管政策,各個業務需要對第三方庫的具體行為負責,如果在APP抽查中發現應用中調用的第三方庫有違規行為,APP也會被通...
-
路由器https抓包環境搭建對路由器相關項目做安全審計,安全測試,需要對路由器進行https抓包,并且需要搭建一個可以篡改,mockhttps 數據的環境。 所以大致需求是通過fiddler對路由器的網...
-
