Clik here to view.
浅析手机抓包方法实践
0x00 摘要在移动逆向分析以及 App 开发的时候,总会需要对其网络行为进行监控测试,本文总结一些抓包思路,并对其使用方法进行实践笔者认为在抓包界,Wireshark 应该算是综合排名第一的工具(其实 Wireshark 自带的命令行工具 tshark 更牛逼)本文总结记录了 5 种抓包方式,掌握其一即可进行实践,欢迎大家一起交流分享0x01 基于 Wireshark实验步骤:1.1...
View ArticleClik here to view.
数据隐藏技术
0x00 前言数据隐藏已经渗透到了生活中的方方面面,之前一直对数据隐藏很有兴趣,但是乌云上关于数据隐藏的文章偏少,看了 隐写术总结之后,我又去找了一些关于数据隐藏的资料,这里来与大家分享和总结下其他一些比较常见的隐藏手段,如果有写错的地方请直接指出,谢谢。0x01...
View ArticleClik here to view.
2015年豆瓣高分榜
冬去春来,又一年过去了。在过去的一年里,豆瓣用户有了更丰富的生活,标记了更多项目,包括图书、电影、音乐、东西、小组等。我们根据这些标记,整理了2015年口碑最好的兴趣榜单。在这里,你也许会发现:今年最爱的书 《你今天真好看》也受到了大家的欢迎;你和友邻一直都在共同关注着 “我不知道该如何像正常人那样生活”专栏;原来电影 《心迷宫》有那么多人看过并给了高分;那张被友邻们念叨了好久的...
View ArticleClik here to view.
代码审计入门总结
0x00 简介之前看了seay写的PHP代码审计的书,全部浏览了一遍,作为一个代码审计小白,希望向一些和我一样的小白的人提供一下我的收获,以及一个整体的框架和常见漏洞函数。这也算是这本书的一个学习笔记吧,可以结合我捋顺的思路来看这本书。: )0x01 整体学习代码审计的目标是能够独立完成对一个CMS的代码安全监测。其通用的思路有:通读全文代码,从功能函数代码开始阅读,例如 include文件夹下的...
View ArticleClik here to view.
银行的动态口令令牌是什么原理
有网银的少年们一般都收到过银行给的这样一个令牌,俗称动态口令,在支付的时候输入自己的密码和动态口令上的动态密码,就能完成验证,银行就相信你不是坏人了,今天我们来简述一下这个动态口令令牌是个什么原理。PS:本篇阅读可能需要读者有一些密码学基础,预警一下。RSA SecurID SID700如图的RSA SecurID...
View ArticleClik here to view.
理解Docker跨多主机容器网络
在 Docker 1.9出世前,跨多主机的容器通信方案大致有如下三种:1、 端口映射将宿主机A的端口P映射到容器C的网络空间监听的端口P’上,仅提供四层及以上应用和服务使用。这样其他主机上的容器通过访问宿主机A的端口P实...
View ArticleClik here to view.
Apache Storm内部原理分析
本文算是个人对Storm应用和学习的一个总结,由于不太懂Clojure语言,所以无法更多地从源码分析,但是参考了官网、好多朋友的文章,以及《Storm Applied: Strategies for real-time event...
View ArticleClik here to view.
云服务器安全设计
0x00 产品定位目前越来越多的初创企业把自己的业务系统架设在公有云上,包含:阿里云、Ucloud、青云、华为云和AWS。在云上的安全怎么保证,是目前摆在我们面前的最大问题,因为,互联网公司业务系统在不断迭代,迭代周期最少的有3天,而且架构也不断在改变。在这种频繁改变的过程中,云安全应该怎么保证?,云主机安全服务平台(Cloud security as a...
View ArticleClik here to view.
深入解析DLL劫持漏洞
Author:Wins0n0x00 DLL劫持漏洞介绍0.1 漏洞简介如果在进程尝试加载一个DLL时没有指定DLL的绝对路径,那么Windows会尝试去指定的目录下查找这个DLL;如果攻击者能够控制其中的某一个目录,并且放一个恶意的DLL文件到这个目录下,这个恶意的DLL便会被进程所加载,从而造成代码执行。这就是所谓的DLL劫持。在Windows XP...
View ArticleClik here to view.
Clik here to view.
Jmeter 使用实践 - 接口 diff 测试
大多数人都使用 Jmeter 做过性能测试,但是在使用的过程中你会发现,它不仅可以做性能测试和功能测试,还能够满足基本的接口测试需求。相比其他工具,Jmeter 入门门槛较低,安装也比较方便,根据自己的需要可以扩展一些插件,总之一句话: 优点太多了。那么问题来了,为什么要做接口 diff 测试?产品迭代较快,提高已有 case 回归的效率,减轻工作量; 通过 diff...
View ArticleClik here to view.
物联网核心协议,消息推送技术演进
消息触达能力是物联网(internet ofthings, IOT)的重要支撑,而物联网很多技术都源于移动互联网。本文阐述移动互联网消息推送技术在物联网中的应用和演进。一、物联网架构和关键技术从开发的角度,无线接入是物联网设备端的核心技术,身份设备管理和消息推送技术是物联网云端的核心技术。而从场景体验的角度,除了前者,还要包括手机的前端开发技术。在上一篇《...
View ArticleClik here to view.
JVM调优总结:一些概念
数据类型Java虚拟机中,数据类型可以分为两类: 基本类型和 引用类型。基本类型的变量保存原始值,即:他代表的值就是数值本身;而引用类型的变量保存引用值。“引用值”代表了某个对象的引用,而不是对象本身,对象本身存放在这个引用值所表示的地址的位置。基本类型包括:byte,short,int,long,char,float,double,Boolean,returnAddress引用类型包括: 类类型,...
View ArticleClik here to view.
理解Java虚拟机体系结构
1 概述众所周知,Java支持平台无关性、安全性和网络移动性。而Java平台由Java虚拟机和Java核心类所构成,它为纯Java程序提供了统一的编程接口,而不管下层操作系统是什么。正是得益于Java虚拟机,它号称的“一次编译,到处运行”才能有所保障。1.1...
View ArticleClik here to view.
Redis时延问题分析及应对
Redis时延问题分析及应对Redis的事件循环在一个线程中处理,作为一个单线程程序,重要的是要保证事件处理的时延短,这样,事件循环中的后续任务才不会阻塞; 当redis的数据量达到一定级别后(比如20G),阻塞操作对性能的影响尤为严重; 下面我们总结下在redis中有哪些耗时的场景及应对方法;耗时长的命令造成阻塞keys、sort等命令keys命令用于查找所有符合给定模式 pattern 的...
View ArticleClik here to view.
应用多级缓存模式支撑海量读服务
缓存技术是一个老生常谈的问题,但是它也是解决性能问题的利器,一把瑞士军刀;而且在各种面试过程中或多或少会被问及一些缓存相关的问题,如缓存算法、热点数据与更新缓存、更新缓存与原子性、缓存崩溃与快速恢复等各种与缓存相关的问题。而这些问题中有些问题又是与场景相关,因此如何合理应用缓存来解决问题也是一个选择题。本文所有内容是跟读服务缓存相关,不会涉及写服务数据的缓存。本文也不考虑内容型应用前置的CDN架构。...
View ArticleClik here to view.
微信官方UI库:WeUI
WeUI是一套同微信原生视觉体验一致的基础样式库,由微信官方设计团队为微信 Web 开发量身设计,可以令用户的使用感知更加统一。包含button、cell、dialog、 progress、 toast、article、actionsheet、icon等各式元素演示地址; http://weui.github.io/weui/项目地址:...
View ArticleClik here to view.
用 Redis 轻松实现秒杀系统
导论曾经被问过好多次怎样实现秒杀系统的问题。昨天又在CSDN架构师微信群被问到了。因此这里把我设想的实现秒杀系统的价格设计分享出来。供大家参考。秒杀系统的架构设计秒杀系统,是典型的短时大量突发访问类问题。对这类问题,有三种优化性能的思路:写入内存而不是写入硬盘、异步处理而不是同步处理、分布式处理用上这三招,不论秒杀时负载多大,都能轻松应对。更好的是,Redis能够满足上述三点。因此,用Redis就能...
View ArticleClik here to view.
利用反射型XSS二次注入绕过CSP form-action限制
翻译: SecurityToolkit0x01 简单介绍CSP(Content-Security-Policy)是为了缓解XSS而存在的一种策略, 开发者可以设置一些规则来限制页面可以加载的内容.那文本中所说的form-action又是干啥的呢?用他可以限制form标签"action"属性的指向页面, 这样可以防止攻击者通过XSS修改表单的"action"属性,偷取用户的一些隐私信息.0x02...
View ArticleClik here to view.
spring boot应用启动原理分析
spring boot quick start在spring boot里,很吸引人的一个特性是可以直接把应用打包成为一个jar/war,然后这个jar/war是可以直接启动的,不需要另外配置一个Web Server。如果之前没有使用过spring boot可以通过下面的demo来感受下。 下面以这个工程为例,演示如何启动Spring boot项目:git clone...
View Article