Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederwechat2rss.xlab.app
天黑说嘿话
Get the latest updates from 天黑说嘿话 directly as they happen.
Follow now 19 followers
Latest posts
Last updated about 1 month ago
【公告】请移步 Red0 安全团队公众号
over 3 years ago
nmask 2021-09-16 09:23 本公众号为个人安全技术分享号,已运营近4年时间,期间感谢大家的持续关注!近期,由于个人工作繁忙 本公众号为个人安全技术分享号,已运营近4年时间,期间感谢大家的持续关注!近期,由于个人工作繁忙难以做到及时更新文章,还请大家多包涵! 由于工作原因,我们团队创建了 Red0 公众号,后续个人或团队安全技术文章将在此公众号上发布,希望有兴趣的朋友可以移步 Red0 公众号,并持续关注与支持,谢谢! 阅读原文 跳转微信打开
短信平台安全需求探索
over 4 years ago
原创 nmask 2021-01-19 18:50 短信平台一般是指用于企业内部统一提供短信服务的系统,一般包含发送短信、校验短信验证码等功能。虽然 短信平台一般是指用于企业内部统一提供短信服务的系统,一般包含发送短信、校验短信验证码等功能。虽然短信平台看似功能简单,但由于目前短信功能使用非常普遍,业务场景丰富,因此它的安全性至关重要。由于工作需要,我最近整理了一份短信平台的安全需求,在此记录分享。(一)、请求获取验证码功能接口 功能使用场景:一般由前置应用系统(渠道端)携带用户IP+用户手机号到短信平台接口获取验证码。面临安全风险功能安全需求设计短信轰炸1、限制单IP+单手机号单位时间内请求接口次数,超过限制封禁IP。短信验证码可猜解2、短信验证码内容不能为不安全的随机数(不要使用可预测的标识符和确认码组合)且符合强度要求(6位及以上)。未授权手机号获取验证码3、支持手机号黑白名单控制策略。短信轰炸4、短信获取接口支持防重放(在cookie中添加时间戳等方式)。未授权应用获取验证码5、短信获取接口支持认证校验。短信验证码校验绕过6、短信验证码内容不能直接通过接口返回前置应用,而是返回发送状态即可。短信验证码内容篡改7、短信验证码内容不能由前置应用系统传入,而是由短信平台后端定制模板与前置应用系统绑定。绕过单手机号发送次数限制8、对前置应用系统传入的手机号进行字符处理及格式校验,过滤非数字字符,并确保格式正确。短信轰炸9、单手机号请求短信验证码间隔限制(如60s),间隔内不允许再次请求验证码。横向短信轰炸10、针对不同前置应用系统设置单位时间内不同的请求次数阈值。(如高频率应用阈值高一些、低频率应用阈值低一些)(二)、请求校验验证码功能接口 功能使用场景:一般由前置应用系统(渠道端)携带用户IP+用户手机号+用户输入验证码到短信平台接口校验验证码。面临安全风险功能安全需求设计短信验证码爆破1、限制单IP+单手机号单位时间内验证码校验错误次数。短信验证码爆破2、短信验证码生效时间限制。短信验证码复用3、相同短信验证码不能用于不同动作(即用户每步操作使用单独验证码来确认,如注册、登录、转账等用不同的短信验证码)。短信验证码爆破4、短信校验接口支持防重放(在cookie中添加时间戳等方式)。短信验证码未授权校验5、短信校验接口支持认证校验。短信验证码复用6、短信验证码在验证通过后应立即重置、失效。 以上安全需求并不完善,待后续探讨补充。需求中相关阈值仅供参考,具体数值要结合业务实际情况决定。另外在实际场景中,可以在前置应用系统中通过添加图片验证码等方式,防止使用自动化工具批量请求接口。 阅读原文 跳转微信打开
利用python开发app实战
over 4 years ago
原创 nmask 2020-11-12 14:23 我很早之前就想开发一款app玩玩,无奈对java不够熟悉,之前也没有开发app的经验,因此一直耽搁了。最近想 我很早之前就想开发一款app玩玩,无奈对java不够熟悉,之前也没有开发app的经验,因此一直耽搁了。最近想到尝试用python开发一款app,google搜索了一番后,发现确实有路可寻,目前也有了一些相对成熟的模块,于是便开始了动手实战,过程中发现这其中有很多坑,好在最终依靠google解决了,因此小记一番。说在前面的话 python语言虽然很万能,但用它来开发app还是显得有点不对路,因此用python开发的app应当是作为编码练习、或者自娱自乐所用,加上目前这方面的模块还不是特别成熟,bug比较多,总而言之,劝君莫轻入。准备工作 利用python开发app需要用到python的一个模块–kivy,kivy是一个开源的,跨平台的Python开发框架,用于开发使用创新的应用程序。简而言之,这是一个python桌面程序开发框架(类似wxpython等模块),强大的是kivy支持linux、mac、windows、android、ios平台,这也是为什么开发app需要用到这个模块。 虽然kivy是跨平台的,但是想要在不同的平台使用python代码,还需要将python代码打包成对应平台的可执行程序,好在kivy项目下有个打包工具项目–buildozer,这是官方推荐的打包工具,因为相对比较简单,自动化程度高,其他项目比如:python-for-android也能起到类似的作用,这里不展开介绍。搭建kivy开发环境需要在pc上安装kivy开发环境,这里演示下mac与linux下的安装过程。install kivy for mac安装一些依赖包:brew...
【漏洞预警】CNNVD 关于Linux kernel 缓冲区错误漏洞的通报
over 4 years ago
nmask 2020-11-07 08:30 近日,国家信息安全漏洞库(CNNVD)收到关于Linux kernel 缓冲区错误漏洞(CNNVD-2 近日,国家信息安全漏洞库(CNNVD)收到关于Linux kernel 缓冲区错误漏洞(CNNVD-202010-742、 CVE-2020-27194 ) 情况的报送。成功利用漏洞的攻击者可以利用此漏洞在本地系统造成内核信息泄露或特权提升。Linux-5.7...
【漏洞预警】CNNVD 关于Linux kernel 缓冲区错误漏洞的通报
over 4 years ago
近日,国家信息安全漏洞库(CNNVD)收到关于Linux kernel 缓冲区错误漏洞(CNNVD-2
【漏洞预警】CNNVD 关于Linux kernel 缓冲区错误漏洞的通报
over 4 years ago
近日,国家信息安全漏洞库(CNNVD)收到关于Linux kernel 缓冲区错误漏洞(CNNVD-2