14 小时前 / 码农UP2U
在 Spring Security 中有一个加密的类 BCryptPasswordEncoder ,它的使用非常的简单而且也比较有趣。让我们来看看它的使用。 BCryptPasswordEncoder 的使用 首先创建一个 SpringBoot 的项目,在创建项目的时候添加 Spring Security 的依赖。然后我们添加一个测试类,写如下的代码: final private String password = "123456"; @Testpublic void TestCrypt(){ BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(); String encode1 = bCryptPasswordEncoder.encode(password); System.out.println("encode1:" + e...
6 天前 / flyer0126
我是架构精进之路,点击上方“关注”,坚持每天为你分享技术干货,私信我回复“01”,送你一份程序员成长进阶大礼包。 在我们日常工作程序开发过程中,难免会涉及与第三方系统进行数据的交互与传递,那么如何保证数据在传输过程中的安全呢(即防窃取)?API 是模块或者子系统之间交互的接口定义,优秀的系统架构离不开好良好的 API 设计,而一个设计不够完善的 API 则注定会导致系统的后续发展和维护非常困难。下面我们就来讨论下常用的一些 API 设计的安全方法。
7 天前 / 道箜
分析外挂样本一般的步骤 对外挂样本进行简单的信息分析。分析还原外挂样本具体功能实现方式。分析外挂样本的反检测功能。1. 对外挂样本进行简单的信息分析查看文件属性,灰产及外挂的标配语言 “易语言” 通过 Exeinfo Pe 查壳工具进行对外挂样本查壳,看看发现是没加壳的应用程序。( 心里突然咯噔了下,收费的外挂竟然都不做点保护,不对自己的程序负责,就直接把程序在市场上裸奔了)2.分析还原外挂样本具体功能实现方式 2.1 网络验证功能外挂一启动 ( 注意:虚拟机环境)的界面就是收费的登陆账号验证,专业点的说也就是网络验证。
13 天前 / xF0rk
laravel Remote code execute on debug mode 复现 2021-1-12 号,看到国外的师傅,挖了个 laravel 的命令执行,而且还用了两种方法, 感觉第一种方法姿势是真的妙,赶紧复现来学习一波。 获取代码 $ git clone https://github.com/laravel/laravel.git$ cd laravel$ git checkout e849812$ composer install$ composer require facade/ignition==2.5.1$ php artisan serve 需要版本》7.3 打开 laravel 的 debug mode 可以看到需要我们生成一个 app_key 生成 app_key 然后我们把根目录的。
14 天前 / gyreg
戳链接了解本期征文详情 刘欢 某互联网公司安全负责人,曾参与过运营商、金融、军工等行业安全评估建设。目前主要负责企业内部安全防护体系的建设,主要研究方向为基础安全与数据安全。 01 写在前面 互联网早期兴起时候,没有考虑到会发展成为今天的规模。所以在网络设计时候也没用考虑其安全性。随着互联网以及物联网的发展,使用网络的人越来越多,而人又有分善恶之分于是也就有了江湖。 伴随着互联网技术发展,安全威胁攻击技术也在“与时俱进”,APT、勒索病毒等诸多攻击手段方式层出不穷...
14 天前 / xF0rk
本文整理自 OPPO 技术开放日第六期——《应用与数据安全防护》活动,分享嘉宾为向波。 主要内容如下: 三方 SDK 安全现状 三方 SDK 安全案例 三方 SDK 安全检测方法 三方 SDK 安全保障在 SDL 中的实践 1 三方 SDK 安全现状 众所周知,应用与数据安全防护的一个重点关注方向,就是三方 SDK 的安全问题。作为一个基础性的安全问题,SDK 广泛应用于 APP 当中,这就导致三方 SDK 的安全问题可能影响更为深远。 三方 SDK 在现在的日常生活当中使用非常广泛,封装了很丰富的功能,对于开发者来说可以直接拿来使用十分便利。
19 天前 / 姬野
本次 Hacking Time 包含区块链安全闭门培训与区块链安全主题演讲,由慢雾安全团队与业界的专家进行分享,围绕安全体系建设,地下黑客视角攻防要点,数字资产安全保障等实战经验进行交流。(议题 PPT 请到文末访问链接查阅) 以下议题选取了慢雾科技高级安全工程师 yudan&Kong 带来的《DeFi 闪电贷攻防之战》,yudan 和 Kong 根据 bZx 最早期的两次闪电贷攻击案例,介绍了闪电贷基本的攻击形式 —— 代币价格操纵,详细讲述了基于价格操纵的闪电贷的防御方案以及在其价格无法被操纵的情况下,如何利用闪电贷另辟蹊径,通过操纵 LP Token 的单价来进行获利。
20 天前 / OPPO互联网技术
在当代网络通讯中,高速且安全的网络接入服务已为互联网厂商的共同追求。针对传统的 TCP + TLS 的安全互联网服务,在各大头部互联网厂商中反响激烈,如 google 有提出各种升级和补丁方案,例如 TCP fastopen, TLS1.3 等,而基于 TCP 的传统体系已经有运行几十年,形成了固化甚至僵化的网络基础设施,导致补丁升级或者新方案融入变得非常困难。为了更体系化更自然且原生的解决这个问题,google 从 UDP 的途径另辟蹊径创建性能更好、安全性更高的 QUIC(Quick UDP Internet Connection)。IETF 也把 QUIC 作为 HTTP3 的标准基础通讯设施。
22 天前 / gyreg
钓鱼邮件是一种比较常见的网络攻击手法,很多企业都深受其扰,稍有不慎将会导致数据被窃取。各种安全意识培训,其实都不如真刀真枪的演练一次来得深刻。 今天,来分享一下如何快速构建内部钓鱼平台,实现一站式钓鱼邮件攻防演练环境的准备。 1、Gophish 搭建 Gophish 是一款专为企业和渗透测试人员设计的开源网络钓鱼工具包,整体安全运行其实非常简单,通过它可以快速地设置和执行网络钓鱼攻击,提高企业内部员工的安全意识。 Github 地址: https://github.com/gophish/gophish/(1) 下载解压缩 wget https://github.com/gophish/gophish/releases/downlo...
23 天前 / xF0rk
今天打开邮件,无意中发现了一封全英文的报价信息邮件,附件是 html 的网页文件。NND,我们就一个破小公司充其量也就做几单本地业务哪来的国际大单呢,嘿嘿,既然人家给咱报价了,来而不忘非礼也。那就动手分析一下这个大单吧。 首先把这个钓鱼的网页复制到安全的 VM,用记事本打开看看什么内容吧,跟自己料想的差不多满篇的“小蝌蚪”,太正常不过了,如果钓鱼的话随随便便右键一下把裤衩都漏出来了,也有点太 low 了。
27 天前 / xF0rk
每年圣诞节大家都有各种温馨浪漫的过节方式。其实我们黑客也有黑客的浪漫,只是一般人不容易感受到。 2014,xmas.futile.net 2014 年圣诞节的时候,如果你对 xmas.futile.net 这个域名执行 traceroute 操作,首先会看到一棵圣诞树,然后还有《Let It Snow! Let It Snow! Let It Snow!》《Jingle Bells》等几首圣诞歌曲的歌词: 要实现控制多行 traceroute 返回结果其实并不需要真有这么多路由,用一台配置了多个 IP 地址的服务器就可以。只要在服务器上根据收到的 traceroute 请求中的 TTL 值以相应的 IP 返回 ICMP Time Exceeded Message 报文即可。
27 天前 / xF0rk
首发于 elknot 企业安全建设日记写文章浅谈安全运营平台中数据分析交互逻辑的设计 e1knot美团 安全工程师 10 人赞同了该文章 0x00 前言今天本来是打算发另一篇文章的,但是由于这两周一直在敲代码,所以几乎没有时间去打磨里面的内容,于是先鸽了。在调研 AWS SecurityHub 和 Google SCC 这两个云平台的 SOC 的时候,我发现了老外在 SOC 的建设上和国内的理解有点不太一样,但是背后都是依赖很强大数据处理交互技术和内部的安全专家规则,尤其是 Chronicles 推出 BackStory 的时候,我惊讶的不是它的功能,而是他的 pb 级别日志处理能力...
30 天前 / xF0rk
封面:cyberpunk girl @toraji[1] 本来想写赛博朋克的自我修养,但最终写成了安全研究的吐槽感悟,所以就这样吧。 工作这一年的工作重心跟着团队的方向调整,从业务安全转向了安全研究。说起安全研究,很多人想到的就是分析漏洞、挖漏洞,写利用。当然这是其中一个领域,安全总是和漏洞有着千丝万缕的联系,但漏洞只是一个结果,而研究本身则包含更多。 在企业里搞研究其实是有点尴尬的。本来安全团队在企业里就是不产生效益的边缘支撑角色,忙时救火,闲时背锅;其中安全研究又是边缘中的边缘,每天搞些稀奇古怪的玩意,也不知道有什么用。
33 天前 / 道箜
欢迎关注公众号,一起学习,一起进步。 目录: NDK 的检测点 1.检测 Xposed 框架 2.检测是否 ROOT 3.检测 Magisk Manager 工具 JAR 的检测点 1.检测模拟器 NDK:检测 Xposed 框架检测方法:通过检测 de.robv.android.xposed.XposedBridge 属性判断是否有使用 xposed 框架。 以下是 IDA 中的显示的具体检测 xposed 实现代码。 NDK:检测 ROOT 检测方法:通过检测文件路径方式检测当前运行环境来判断是否有 ROOT 以下是 IDA 中的显示的具体检测 root 实现的代码 NDK:检测 Magisk Manager 检测方法:通过检测 /data/data/ 目录下是否有 com.topjohnwu.magisk 包...