作者名片

小米SRC
小米SRC
文章总数 : 15
签名 :

TA的文章

Web安全 爬虫这件小事

爬虫这件小事

《爬虫这件小事》 注:本文为“小米安全中心”原创 ,转载请联系“小米安全中心” 0x00 前言 这一天终于还是来了。两周前答应部门妹子3月15号之前写篇文章,两周后我只字未动诚惶诚恐,为了避免被当做假同事打假,有了这篇挫文。 至于为什么要写这方面内容,纯粹我临时拍脑袋想的,专业做爬虫的就不用看了,我这属于十分钟了解爬虫系列,而且通篇不会涉及任何代码,毕竟我不是@netxfly,...
Web安全 PostMessage跨域漏洞分析

PostMessage跨域漏洞分析

注:本文为“小米安全中心”原创 ,转载请联系“小米安全中心” 背景 价值: $3000 漏洞原因:postMessage跨域漏洞导致,利用websocket接收用户认证token 原文地址:https://labs.detectify.com/2017/02/28/hacking-slack-using-postmessage-and-websocket-reconnect-t...
移动安全 【MiSRC】技术分享-浅谈android hook技术

【MiSRC】技术分享-浅谈android hook技术

注:本文为“小米安全中心”原创,转载请联系“小米安全中心” 前言 xposed框架 xposed,主页:http://repo.xposed.info/module/de.robv.android.xposed.installer 是个开源的框架,在github上有源码的,直接下载apk后安装激活就可以使用,很多地方有这方面的教程,针对不同的手机架构,有大牛做了针对性的修改。可...
Web安全 Docker Remote api在安全中的应用杂谈

Docker Remote api在安全中的应用杂谈

注:本文为“小米安全中心”原创,作者: netxfly  ,转载请联系“小米安全中心” 概述 众所周知,Docker daemon默认是监听在unix socket上的,如unix:///var/run/docker.sock。 官方还提供一个Rustful api接口,允许通过TCP远程访问Docker,例如执行以下启动参数可以让docker监听在本地所有地址的2375端口上...
移动安全 Android逆向随笔之遇见MultiDex

Android逆向随笔之遇见MultiDex

注:本文为“小米安全中心”原创,作者: 瘦蛟舞 ,转载请联系“小米安全中心” 上期回顾:安全扫描自动化检测平台建设(Web黑盒下) 0x00 Who is Multidex 很多大厂的Android App因为业务量大,引用库多导致其apk包中的类于方法剧增。这样就有可能出现因为方法数过多导致编译失败的情况。产生这个问题的主因是dex文件格式的限制。一个DEX文件中method...
专题 安全扫描自动化检测平台建设(Web黑盒下)

安全扫描自动化检测平台建设(Web黑盒下)

注:本文为“小米安全中心”原创,作者: 蓝色di雪球 ,转载请联系“小米安全中心” 上期回顾:安全扫描自动化检测平台建设(Web黑盒中) 扫描云平台架构设计 随着互联网业务的高速发展,企业业务的快速扩张,传统的安全扫描器已经远远不能跟上企业的脚步,一方面是使用门槛和成本较高,需要专业的安全人员才能使用并发现安全问题,另一方面,传统的以产品为主的交付方式对于互联网企业使用上也存在...
专题 安全扫描自动化检测平台建设(Web黑盒 中)

安全扫描自动化检测平台建设(Web黑盒 中)

注:本文为“小米安全中心”原创,作者: 蓝色di雪球 ,转载请联系“小米安全中心” 上期回顾:安全扫描自动化检测平台建设(Web黑盒上) 安全自动化扫描平台建设——扫描平台设计 1.指纹识别 指纹识别是扫描器的雷达卫星,能在真正需要的时候准确命中目标,指纹识别不仅仅包括Web服务器,还包括设备资产的指纹,一个IP对应的是一台服务器还是一台个人机还是一台打印机?这意味着安全域是不...
专题 安全扫描自动化检测平台建设(Web黑盒上)

安全扫描自动化检测平台建设(Web黑盒上)

注:本文为“小米安全中心”原创,作者: 蓝色di雪球 ,转载请联系“小米安全中心” 上期回顾:HTTPS原理科普 Web扫描平台的发展 1.原始社会 在Web安全兴起的初期,国内的工具相应缺乏,笔者曾经获取一个注入点数据库的MD5需要手工注入半天时间。 于是相应的安全扫描自动化工具应运而生,其中杰出代表莫过于啊D,穿山甲,和JSKY。感谢前辈给我们创造的自动化工具。这几款工具,...
Web安全 浅谈PHP安全开发

浅谈PHP安全开发

注:本文为“小米安全中心”原创,作者: Think Again ,转载请联系“小米安全中心” 上期回顾:基于burp插件的安全测试 PHP作为世界上最好的语言(⊙﹏⊙),在WEB开发中应用广泛,同时也经常会产生各种漏洞,那么我们该怎样有效的防护这些漏洞呢?今天就来讨论下PHP开发安全防护。 当年PHP还是PHP4这个版本时,多数项目用着混编的模式(前端代码和PHP代码未分离)进...
专题 基于burp插件的安全测试

基于burp插件的安全测试

注:本文为“小米安全中心”原创,作者: ECHO,转载请联系“小米安全中心” 上期回顾:证书检测二三事 前言 burp是很多web安全爱好者都会用到的神器,burp专业版集成了代理、fuzzing、重放、扫描等功能,对于自动化扫描功能来说,里面的poc都是官方集成好的,很难增加自己的特殊poc代码,最新版开放了burp的开发api,利用api可以很简单的集成自己的扫描poc,针...
Web安全 证书检测二三事

证书检测二三事

注:本文为“小米安全中心”原创,作者: 那我就随便唱两句,转载请联系“小米安全中心” 上期回顾:自动化web安全测试 0x00 这是开篇 年初时候,网上有这么一篇文章,题目叫“加速HTTPS普及!谷歌Chrome要为所有HTTP网站打上红叉”,有兴趣的瓜众可以去Google一下。历史总是惊人的相似,上学的时候没有答好题要打红叉,现而今,网站没有部署HTTPS也要打红叉,形如图1...
Web安全 自动化web安全测试

自动化web安全测试

注:本文为“小米安全中心”原创,作者: 妇愁者纞萌,转载请联系“小米安全中心” 上期回顾:中、小企业如何自建免费的云WAF Web安全的测试过程简单的可以理解为“对基础request的改造,来探测服务器的响应”。当改造后的request,使服务器的响应得出了对应的结果,我们就可以初步判定漏洞是否存在。 以SQL注入为例: 如下是一个最常见的post请求 POST http://...
专题 中、小企业如何自建免费的云WAF

中、小企业如何自建免费的云WAF

注:本文为“小米安全中心”原创,作者: netxfly ,转载请联系“小米安全中心” 上期回顾:技术分享|利用恶意软件检测服务向服务提供商植入恶意软件(二) 概述 WEB攻击是十几年来黑客攻击的主流技术,国内的大厂们早已把WAF作为安全基础设施的标配,市面上也有很多安全厂商提供了WAF产品或云WAF服务。 对于没有自己安全团队,却又饱受sql注入、xss、cc等WEB攻击的中、...
代码审计 利用恶意软件检测服务向服务提供商植入恶意软件(二)

利用恶意软件检测服务向服务提供商植入恶意软件(二)

注:本文为“小米安全中心”原创,作者: 我不知道该唱什么,转载请联系“小米安全中心” 上期回顾:技术分享|利用恶意软件检测服务向服务提供商植入恶意软件(一) 之前说到了利用本地dns做中转传输数据的通道被禁止后,还是否有方法把变量内容传递出来。 这里有一个很明显的信道,在我们最开始的时候就已经用来判断检测机制了,就是业务自己输出的检测结果。 我们能否通过在脚本内判断字符串内容来...
代码审计 利用恶意软件检测服务向服务提供商植入恶意软件(一)

利用恶意软件检测服务向服务提供商植入恶意软件(一)

注:本文为“小米安全中心”原创,作者: 我不知道该唱什么 这个恶意软件检测服务的关注点主要在web脚本后门,即webshell上。服务的具体形态是:上传脚本文件(支持压缩包),然后服务在后台对上传的文件进行检测,完毕后显示有所上传文件中有哪些文件是恶意脚本,以类似如下的形式: ------------------------------------ /e.php       ...

友情链接

合作伙伴