WEB
easyweb
http://114.116.26.217/
学习了一波json web token ,但是没想到是个脑洞。
账户admin,空密码登陆。
ciscn{2a36b5f78a1d6a107212d82ee133c421}
MISC
验证码
本题目为验证码破解,选手需在指定时间完成对验证码的破解,成功后获取Flag。请使用队伍token进行登陆。
参考数据:https://share.weiyun.com/6e055fc3402e86c7cbb5384f1a6b41b8
https://game.captcha.qq.com/hslj/html/hslj/
题目有点问题,手动玩了一会儿
继续阅读 »
随着互联网的普及,不管是PC端的web,还是移动端的app,甚至智能家居等,绝大部分的通信都是依靠http协议传输数据,但http协议只负责传递信息,并不能保证信息的安全性和可靠性。
more
信息安全
简单来说,信息安全就是为了保证传递的信息只能被正确的人接收和识别,并且接收方能够验证信息是否被篡改,最终能够正确识别收到的信息。
继续阅读 »
有时候我们需要在 APP 运行时验证当前 APP 是否被篡改,而 SDK 提供方通常也需要验证 APP 是否被授权,今天我们就来探讨一下如何在 native 层实现这一功能,以及在这个过程中的一些要点和技巧。
认证方案
我们先探讨一下有哪些认证方案。
继续阅读 »
算法:由输入经过一系列的计算步骤得到输出
排序问题:将无序的输入经过处理按照一定的孙徐输出
优秀的算法:
- 正确性(思路清晰)
- 高效(算法分析)
- 易于实现(现成的算法)
算法的用处:
- 生物信息学
- 网络(图论,字符串查找)
- 信息安全(RSA..)
- 优化(调度)
算法问题:
- 图论(最短路径...)
- LCS(动态规划...)
- 拓扑排序
- 凸包
数据结构:
C++ STL 优缺点 效率
难解问题:
并行算法
CPU效率
算法技术
算法的效率
渐近记号
问题规模量 时间T(n)
数组去重
继续阅读 »
Node.js代理服务器
出于信息安全的需求,很多公司对于员工电脑访问外网都会有很多特别的限制,比如某国内大型上市IT解决方案供应商,所有的员工电脑必须通过某个指定的HTTP代理服务器访问互联网资源,并且还要进行用户名密码的验证,导致很多无法设置代理服务器的软件以及仅支持socks5代理的软件都无法使用,甚至想要在调试应用的时候调用一些第三方api都需要做很多特殊设置。
比如正常的Node.js在做HTTP请求的时候,代码如下:
var http = require('http');
var opt = {
host: 'api.example.com', //要访问的服务器地址或者域名
port: 808
继续阅读 »
Borg的第一个django网站
最近在 Github 失踪了挺久,去学 Django 框架去了,还实践写了个小网站。大体的思路是一个密码管理网站,通过加密每个记录的信息生成密码。本来是想着服务器端存一部分信息,用户记住一个通用的密钥,每次获取密码的时候都需要输入一遍密钥。这样就算数据库所有的信息被窃取也没法得到全部的信息,因此还是安全的。不过这样子也就没办法验证用户输入的密钥是否每次都一致,也就无法验证最后得到的密码是否正确,而且网站本身登录需要一个密码,统一密钥又是一个搞得复杂了,所以暂时就没有采用这种做法。最后是通过加密各种相关信息(具体就不说是什么了)得到密码。最大的好处在于可以为每个网站的不同账号都设置一个不同的密码,再
继续阅读 »
文/Robin
知名硬件钱包 Ledger 今天发布 公告,宣称电子商务和营销数据泄露,但是支付信息、加密资产是安全的。
事件经过是怎么样的呢?一位安全研究员在 Ledger 的 bounty program 提醒 Ledger 潜在的网站数据泄漏。在 2020 年 7 月 25 日,Ledger 的数据库存在未授权访问,导致数据泄漏。泄漏的数据包括电子商务和营销数据,具体的数据是客户的邮件地址、订单详情(客户的姓名、邮寄地址、邮件地址、电话号码)。至于数据库的未授权访问是怎么样实现的呢?Ledger 的公告宣称是利用了 API Key,目前这个 API Key 已经失效。
此次安全事故具体涉及到多少数据呢?大概 100
继续阅读 »
在Android开发中,我们使用android.util.Log来打印日志,方便我们的开发调试。但是对于正式发布的程序,我们并不希望这些Log信息显示,一方面对于用户来说影响机器性能,另一方面,其他开发者看到这些信息的时候,对我们应用程序的安全是有威胁的。所以,我们需要在正式发布时不让Log执行,或者将其移除。这里,我提供三种方法。
自己写一个Log的帮助类,在类中设置显示级别
示例代码如下,通过一个静态变量设置Log的显示级别。
more
```java
public class Log {
public static int logLevel = Log.VERBOSE;
public static void i
继续阅读 »
概述
此次更新,主要修复xmake的一些稳定性问题,并且对安装和卸载提供更加安全的权限处理,相关更新细节见:改进权限问题,提升操作安全性
并且此版本还对用户使用上的体验进行了一些优化,例如:
减少冗余检测和提示信息,提升检测效率
在非xmake工程自动生成xmake.lua时提供更加友好的提示,避免误操作
在任意工程子目录也可正常执行xmake操作,类似git
提供更加安全友好的安装和卸载提示信息
详细更新信息,可参考下面的更新细节:
新特性
#65: 为target添加set_default接口用于修改默认的构建所有targets行为
允许在工程子目录执行xmake命令进行构建,xmake会自动检测所在的工程根目录
继续阅读 »
1. 写在前面
本文提到的所有案例【实际上就两个案例】,都是自己亲身经历过的,但为了安全友好起见,文中出现的一些数字都是假设的,如果有截图,都会把一些不便透露的信息隐藏的,我想只要能说明问题就行了。
2. 一次新增用户骤减的经历
继续阅读 »