一、背景 在近几年,随着数字信息时代的飞速发展,人们越来越关注个人隐私和数据安全。各国政府和监管机构为了保护消费者的隐私权益,对APP的合规要求提出了更高的标准,特别是关于敏...
发简信
IP属地:北京
-
如何分别使用xposed和frida来实现对APP采集mac地址的监控 -
dvb的审计笔记1(静态代码审计)一.介绍 dvb是一个故意存在漏洞的 Android 应用程序,可以认为是APP靶机。它有一个官方文档,在APP的审计过程中,可以参考官方文档进行,官方文档中介绍了APP存在...
-
一次硬件审计中发现的一些漏洞
一.背景 此次是针对一款智能设备进行的审计,审计范围包含服务端、APP、硬件、固件。 二.发现的一些问题 作为一款新上市的设备,仍然出现了一些智能设备中常见的问题。 例如几个...
-
IOT设备的安全标准
★禁止绕过系统安全机制的功能 1、禁止存在绕过正常认证机制直接进入到系统的隐秘通道,如:组合键、鼠标特殊敲击、连接特定接口,使用特定客户端、使用特殊URL等。 2、 禁止不可...
-
某厂商游戏协议逆向分析案列
此分析结果适用于某厂旗下部分游戏,比较典型的如某精英,不同游戏协议字段有区别,这里只列出主要的协议格式,以及分析的方式和结果。 改厂旗下游戏,核心交互协议有TCP和UDP两种...
-
如何对未知协议进行逆向分析
背景 工作上由于需要对一些DPI的规则进行维护,很多时候需要对一些非标准协议进行逆向分析,从而找到非标准协议中的可识别内容。例如典型的是各种游戏协议。 因此多多少少接触到了一...
-
如何在APP端检测网络风险?
一、背景 app端进行网络的检测,主要是网络安全层面进行检测,比如典型的,通过app端去检测网络内是否存在中间人窃听、dns劫持。通过这种方式,可以避免app在网络传输中遇到...
-
某路由器加密信息泄露分析背景: 分析某路由器产品的时候,发现部分通过aes加密的信息,可以通过一些技术手段获取明文。从分析接口和路由器功能来看,这部分加密信息可能还是核心业务逻辑中的重要数据。 具体...
-
sslsplit工具
项目地址:https://github.com/droe/sslsplit[https://github.com/droe/sslsplit] sslsplit介绍: SLs...
-
透明ssl代理工具使用工作项目上,需要在linux上搭建一个透明代理,用于代理ssl请求,并且使用自定义证书解密ssl请求。在网上找了一些工具试用,有开源的,也有不开源的,这里介绍下这个Polar...
-
sql注入的实例和sqlmap使用
事情经过: 前几个月有一个云端管理后台项目上限,在做接口审计的时候,竟然发现了一个高危的sql注入漏洞。 因为之前我们业务线服务端业务主要是做APP接口相关,可自定义输入的位...
-
Android检测三方库行为前言 android程序中调用了很多第三方库,由于工信部的监管政策,各个业务需要对第三方库的具体行为负责,如果在APP抽查中发现应用中调用的第三方库有违规行为,APP也会被通...
-
路由器https抓包环境搭建对路由器相关项目做安全审计,安全测试,需要对路由器进行https抓包,并且需要搭建一个可以篡改,mockhttps 数据的环境。 所以大致需求是通过fiddler对路由器的网...
-
