《iOS应用安全攻防实战》第六章:无法销毁的文件

路人甲 / 2015-08-21

将一个普通的文件系统想象为一个大的笔记本。当一个文件被删除时,许多人以为这一页是被用“三福”牌记号笔完全涂黑了,就像关于51 区的机密文档那样。但事实上,在这个操作背后所发生的一切更像是用一支很细的红色笔在这一页上面画了一个巨大的X。文件被标记为已删除,但内容实际上还存在于笔记本上。所有想知道其看起来是什么样的人还是可以轻松地读出它的内容,而不管有一个红色的X 将它标记为已删除。这就是庭审律师(不论是美剧Boston Legal中的还是真实生活中的律师)如何从嫌疑犯的电脑里还原出大量已删除的文件。苹果公司也知道这一点,因此,在iOS 4中开始使用一些特殊的精心设计的文件系统加密方法来防止已删除文件被还原出来。然而,这种技巧并不完美,有时候文件依然可能被盗。

L

CBC字节翻转攻击-101Approach

Larry / 2015-08-14

本文翻译自:http://resources.infosecinstitute.com/cbc-byte-flipping-attack-101-approach/

drops里的相关主题文章:使用CBC比特反转攻击绕过加密的会话令牌

缘起是糖果出的一道题,看到原文作者对这一问题阐述的较为详细,虽然时间有些久远,但翻译一下可与诸君学习一下思考问题的方法。

对手机丢失后可能产生的危害的思考

黑吃黑 / 2015-07-13

本文的目的是科普丢手机的危害,禁止非法利用,否则后果自负。 前阵子在某知名安全网站看到了“手机丢了以后,都会发生些什么?一篇文章”然后结合自己日常生活中使用手机过程中的安全隐患进行了一些自己的思考,然后有了这篇文章;因为我在原文章中并没有找到解决这些安全隐患的办法。最后我自己也提出了自己一些解决办法,同时也希望相关的应用厂商给出更好的安全防护措施!

从客户端游戏漏洞看开发中的安全隐患

毕月乌 / 2015-05-27

虽然现在的应用开发越来越趋向于web应用,大型软件也大量使用了现有的框架,随着现有框架和引擎的完善,绝大多数安全问题已经被解决。但是遇到一些定制需求时,开发人员还是不得不从底层一点点进行设计。这时,没有安全经验的开发人员很容易犯下错误,导致严重的安全隐患。本文以一款自主引擎的大型网络游戏为例,展示开发中容易被忽略的隐患。

L

黑掉俄克拉荷马州立大学的学生卡

light / 2015-03-01

磁卡是一种卡片状的磁性记录介质,利用磁性载体记录字符与数字信息,用来标识身份或其它用途。磁条是一层薄薄的由排列定向的铁性氧化粒子组成的材料(也称之为颜料)。用树脂粘合剂严密地粘合在一起,并粘合在诸如纸或塑料这样的非磁基片媒介上。

A

隐写术总结

AppLeU0 / 2015-02-10

之前还没有见到drops上有关于隐写术的总结,我之前对于隐写术比较有兴趣,感觉隐写术比较的好玩。所以就打算总结总结一些隐写术方面的东西。写的时候,可能会有错误的地方,请不吝赐教,谢谢。

本篇章中用到的隐写术的图片,都打包在了这里:隐写术图片,想去自己尝试一遍的话可以去下载。

N

OQL(对象查询语言)在产品实现中造成的RCE(Object Injection)

Nebula / 2014-12-02

GemFire内存数据库是来自云计算公司Pivotal(未来我最看好的云计算产品提供商,由EMC、VMware、通用电气这三家公司合资等方式组成,这里有我们熟悉Spring技术团队支撑的就是这家公司云计算前端开发框架)的产品.

L

Codeigniter 利用加密Key(密钥)的对象注入漏洞

lxj616 / 2014-04-22

大家好,Codeigniter 是我最喜爱的PHP框架之一。和别人一样,我在这个框架中学习了PHP MVC编程。今天,我决定来分析一下Codeigniter的PHP 对象注入漏洞。

我在接下来的叙述中会把重点放在Codeigniter的Session会话机制上。所有我将会分析的method方法都在CodeIgniter/system/libraries/Session.php文件里。我在本研究过程中使用的是Codeigniter 2.1 版本。

D

加盐hash保存密码的正确方式

D&G / 2014-03-13

大多数的web开发者都会遇到设计用户账号系统的需求。账号系统最重要的一个方面就是如何保护用户的密码。一些大公司的用户数据库泄露事件也时有发生,所以我们必须采取一些措施来保护用户的密码,即使网站被攻破的情况下也不会造成较大的危害。保护密码最好的的方式就是使用带盐的密码hash(salted password hashing).对密码进行hash操作是一件很简单的事情,但是很多人都犯了错。接下来我希望可以详细的阐述如何恰当的对密码进行hash,以及为什么要这样做。

R

使用OpenSSH证书认证

r00tgrok / 2014-03-11

2010年三月,ssh证书认证悄然地包含到了OpenSSH5.4中。到了2014年,很多人对ssh证书依旧相当模糊,既没有得到广泛的理解,也没有得到广泛的使用。对于这样一个问题,我们可能会认为它实施起来要不是很难,就是很复杂。实际上这样做既不难,也不复杂,只是它没有得到较好的文档化的描述。

P

密码管理利器:Linux - KeePassX

pfcz.org / 2014-03-04

首先,我尝试了LastPass。LastPass大概最为人们所熟知,因为它是基于WEB管理密码的,是所有软件中平台无关性最强的。但是我发现它的界面简陋,而且提供太多的工具和选项,比较繁琐。

浅谈怎样保住数据最后的贞操

黄小昏 / 2013-09-03

在这个信息大爆菊的年代。无论是谁,都会有超过10种账号,其中包括电话号码,身份证,QQ, 邮箱,妹子生日,长度。。。

但是,话说回来,现在随便一个搬砖工头的手里都有着几E的数据,甚至连你今天穿什么颜色内裤都知道,这让我们情何以堪啊,对于最近的网盘,我也不多说什么了,那个肯定就是不要上传那些敏感的文件了,那我们应该怎么怎么处理我们的文件呢?放在电脑里?oh,no,刚才查水表的叔叔把整个机箱扛走了,难道就这样让我们的数据放荡在光天化日下?不,我们得行动起来,把我们的隐私保护起来!

如何抵御社工库类的黑客攻击?在明文密码已泄露的情况下保护自己?

核攻击 / 2013-07-22

说到社工库,现在很流行,数据也越来越庞大、详细,其威胁程度日愈严重。

其中威胁最高的就属密码库了,也是数量最大,影响范围最广的。

密码库主要来源就不说了,各种拖库……

浅谈互联网中劫持的一些事情

只抽红梅 / 2013-05-27

PS:不确定文章中的内容会不会被和谐 互联网中劫持可以理解为正常用户的请求在返回响应之前响应内容被篡改,或者正常用户的请求内容被非法获取从而代为请求。无论是个人还是公司或多或少都会碰到劫持这类事情,无论小到ARP攻击、还是大到运营商的链路劫持、甚至天朝的GFW。笔者在一家互联网公司工作,只是根据碰到的一些情况来进行浅谈,深而广的内容只能让有更多经验的来谈了,对于本文的内容也欢迎各位拍砖。

投稿

随机分类

Web安全 文章:248 篇
渗透测试 文章:154 篇
Ruby安全 文章:2 篇
运维安全 文章:62 篇
企业安全 文章:40 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

H

HHHeey

好的,谢谢师傅的解答

Article_kelp

a类中的变量secret_class_var = "secret"是在merge

H

HHHeey

secret_var = 1 def test(): pass

RSS订阅