首页 » 2017 » 七月 » 04

某政企使用邮件系统疑似存在通用设计问题

 

邮件系统取回密码功能设计逻辑错误,存在认证绕过漏洞,通过抓取数据包可通过修改报文,将找回问题答案参数删除后,直接进行对密码更改; 漏洞证明: 国家航天局(国防科工局) 国家国土资源部 密码找回 数据包抓取修改 密码重置成功,账户都是百度得到的(本次以账户为例t … 阅读全文

Gadget构造:从JIT-ROP到对抗XnR

 

*本文原创作者:cuteme,本文属FreeBuf原创奖励计划,未经许可禁止转载 写在前面 简单地说,本文介绍了两种 构造gadget的思路。( 在浏览器支持JIT的情况下) 演进:关于JIT-ROP 我们知道,最初DEP的出现是为了对抗的栈溢出、堆溢出等这类 … 阅读全文

Android应用安全开发之防范无意识的数据泄露

 

0x00 简介 OWASP移动安全漏洞Top 10中第4个就是无意识的数据泄漏。当应用程序存储数据的位置本身是脆弱的时,就会造成无意识的数据泄漏。这些位置可能包括剪贴板,URL缓存,浏览器的Cookies,HTML5数据存储,分析数据等等。例如,一个用户在登录 … 阅读全文

DevOps实践-打造自服务持续交付-上

 

一. DevOps转型的动机 我们的客户是一家海外本土最大的金融保险集团,他们在发展到一定规模以后,意识到自己就像一头笨重的大象,举步维艰,通过对整个交付流程的思考和分析,发现了以下一些严重影响交付速度的问题: 一些好的关于产品改善和创新的想法很难落地。设计到 … 阅读全文

[Diving into WWDC 2017] Advances in Networking, Part 1

 

网络优化技术进阶 为了给用户提供更好的用户体验,在网络优化和新技术使用方面,苹果一直都保持着很积极的态度,近两年也多次通过加强审核的方式大力推广 IPv6 和 https;每年的 WWDC 都有若干网络优化的 session,介绍和讨论新的网络技术和使用情况; … 阅读全文

预防勒索软件的应对措施及安全建议

 

勒索软件这几个月频频上头条,不管是像最新的Petya勒索软件也好,还是之前在全球造成了大量感染的WannaCry也好,都不同程度的给全世界政府,人民以及商人带来了巨大的损失。我国也由于网民基数大,所以导致现在俨然成为了受勒索软件感染最严重的国家。那么在勒索软件 … 阅读全文