tech knowledge
文章平均质量分 90
晓翔仔
晓翔仔喜欢写代码,尤其是c/c++/python。
晓翔仔CISSP、CISP-IRE持证,喜欢研究信息系统安全,逆向工程。
展开
-
OpenSSH远程代码执行漏洞 (CVE-2024-6387)
OpenSSH是一套基于安全外壳(SSH)协议的安全网络实用程序,它提供强大的加密功能以确保隐私和安全的文件传输,使其成为远程服务器管理和安全数据通信的必备工具。OpenSSH 自 1995 年问世近 20 年来,首次出现了未经验证的远程执行(RCE)漏洞,攻击者可以提权至 root 最高权限,在不需要用户交互的情况下执行任意代码。该漏洞是由于OpenSSH服务器 (sshd) 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。原创 2024-07-02 11:12:00 · 6179 阅读 · 1 评论 -
从OWASP API Security TOP 10谈API安全
API安全是个持续的过程,要求开发者、操作和安全团队协作确保API面临的风险得到恰当管理。遵循OWASP API Security Top 10是创建一个更安全API生态系统的基础。在构建API时,要确保考虑到这些主要的安全问题,并在API的整个生命周期中持续关注安全保障。参考:OWASP API Security TOP 10中文项目 2023OWASP API Security TOP 10中文项目 — OWASP-CHINA。原创 2024-04-17 14:50:17 · 2325 阅读 · 0 评论 -
关于CIDR的理解
随着互联网的急剧膨胀和IP地址资源的紧张,传统的IP地址划分方法(如类A、类B、类C的方式)已不能满足灵活、高效的网络设计需求。这就是无类别域间路由(CIDR)的概念出现并普及的原因。CIDR是一种IP网络地址划分方法,它允许更灵活地创建大小不一的网络,有效延缓了IPv4地址的耗尽问题,同时为IPv6的部署提供了助力。随着网络技术的发展,充分理解和运用CIDR至关重要。无论是为了更有效地规划企业网络,还是为了掌握互联网的整体框架,对CIDR的理解都可以帮助我们更好地应对日益增长的网络需求。原创 2024-04-17 08:31:47 · 1538 阅读 · 0 评论 -
车内总线通信技术简述
本文主要分享一些汽车总线通信技术(CAN、CANFD、LIN、Flex Ray、MOST、LVDS、TTP/C、Ethernet),希望对大家能有所帮助。原创 2023-11-27 21:39:38 · 2372 阅读 · 0 评论 -
linux之iptables的理解与使用
防火墙_http://192.168.52.14/_擒贼先擒王的博客-CSDN博客。原创 2023-07-29 15:07:20 · 3233 阅读 · 0 评论 -
WIFI鉴权的过程
当今手机连接WIFI热点普遍采用WPA2-PSK的方式。本文讨论这个方式的鉴权过程原创 2023-07-15 07:53:19 · 2789 阅读 · 0 评论 -
UDS(ISO14229)诊断服务的29服务和84服务
USD协议诊断主要采用“问 - 答”模式,即诊断仪像车辆指定的ECU发送请求(Request),指定的ECU会做出相对应的响应(Response),并将响应返回给诊断仪。从而可以依据定义好的诊断描述文件,就可以将相对应的数据转化为相对应的问题和描述。常见的UDS服务类型可以参考这一篇博客对UDS诊断服务功能和描述较为完整,推荐阅读。起初,我认为UDS协议只能只能传输明文,并不设计密码学算法。后来发现并非如此,但是由于历史传统和资源耗费的问题,目前还是以一些传统UDS服务为主。原创 2023-05-08 19:06:31 · 4476 阅读 · 1 评论 -
HTTPS 加密简析
HTTPS采用的是对称加密和非对称加密的混合加密方法。原创 2023-04-17 19:38:49 · 2548 阅读 · 0 评论 -
IP地址的分类
最初设计互联网络时,为了便于寻址以及层次化构造网络,每个IP地址包括两个标识码(ID),即网络ID和主机ID。同一个物理网络上的所有主机都使用同一个网络ID,网络上的一个主机(包括网络上工作站,服务器和路由器等)有一个主机ID与其对应。网络号:用于识别主机所在的网络;主机号:用于识别该网络中的主机。IP地址根据网络ID的不同分为5种类型,A类地址、B类地址、C类地址、D类地址和E类地址。原创 2023-03-15 20:59:59 · 14614 阅读 · 6 评论 -
汽车车机OTA升级
这里,我获取到了1)汽车车机安卓系统的OTA远程升级包2)汽车车机安卓系统的Recovery模式服务的代码3)升级过程的部分日志打印下面来谈谈我了解到的OTA升级过程。原创 2022-12-27 16:58:18 · 821 阅读 · 0 评论 -
Android 权限(permission)整理
在Android的设计中,资源的访问或者网络连接,要得到这些服务都需要声明其访问权限,否则将无法正常工作。在Android中这样的权限有很多种,这里将各类访问权限罗列出来,供大家使用时参考之用。整理安卓权限的博客很多,很多大同小异,也不知道这是谁先写的。这里就不写出处了,用作记录,以便需要时搜索。原创 2022-12-23 10:37:46 · 8143 阅读 · 1 评论 -
SM系列国密算法
关于国际通用的古典密码学和现代密码学知识已经有较为完备的体系了。CISSP考试要求里的“应用密码学”内容辅助记忆趣味串讲_晓翔仔的博客-CSDN博客对于国密算法,相对了解的人就少了。这篇博客简单介绍常见的国密算法第一次接触国密算法,我吃惊的是算法细节竟然是不公开的。这跟我准备CISSP认证时学到的密码学理论是冲突的,不过,通过研究,都能找到SM国密算法对标的国际标准算法。原创 2022-12-10 11:53:46 · 5623 阅读 · 0 评论 -
新能源汽车OTA升级中的UDS通信分析
本文主要分析了一次OTA升级步骤里用到的UDS服务以及报文解释。原创 2022-11-27 13:36:53 · 8945 阅读 · 1 评论 -
Django Web框架的使用
Django是基于Python的重量级开源Web框架。Django拥有高度定制的ORM和大量的API,简单灵活的视图编写、优雅的url、适用于快速开发的模板以及强大的管理后台。Django简介可以查看菜鸟教程Django 简介 | 菜鸟教程通过这篇博客的学习,不难发现,Django视图编写灵活、URL优雅,有适用于快速开发的模板以及强大的管理后台,这些使得它在python web开发领域占据了不可动摇的地位。原创 2022-11-24 21:21:41 · 5671 阅读 · 0 评论 -
统一诊断服务(UDS)
统一诊断服务(Unified Diagnostic Services),简称UDS。是ISO 15765和ISO 14229定义的一种汽车通用诊断协议原创 2022-09-26 17:37:46 · 16574 阅读 · 0 评论 -
某安卓系统8872端口打开原因分析
本文分析安卓系统127.0.0.1:8872端口打开的原因。btsnoop_net exposes Bluetooth snoop logs over a local TCP socket which enables real-time debugging of HCI data with hcidump. bluedroid will listen for incoming TCP connections on port 8872.原创 2022-07-08 14:21:45 · 7509 阅读 · 0 评论 -
服务器安全-避免被攻击者查到服务器源 IP与对攻击者ID信息收集
作为网站的管理员,如何在网站运营中避免被攻击者查到服务器源 IP?主要有两种方案:一是使用高防 IP 服务。用户购买高防 IP,把域名解析到高防 IP 上(web 业务只要把域名指向高防 IP 即可,非 web 业务,把业务 IP 换成高防 IP 即可)。同时在高 防 IP 上设置转发规则,所有公网流量都会走高防 IP,通过端口协议转发的方式,将用户的 访问通过高防 IP 转发到源站 IP。在这一过程中,将恶意攻击流量在高防 IP 上进行清洗过 滤后,把正常访问流量返回给源站 I...原创 2021-12-17 22:11:58 · 9292 阅读 · 0 评论 -
android apk签名文件里MANIFEST.MF、CERT.SF、CERT.RSA三者的关系
拿某apk举例用7z解压*.apk,可以看到如下目录这里有三个重要的文件MANIFEST.MF、CERT.SF、CERT.RSA,它们的用途是对apk进行签名,我们今天就来分析三者之间的关系1.MANIFEST.MFMANIFEST.MF文件内容是Manifest-Version: 1.0Created-By: 1.0 (Android SignApk)Name: META-INF/services/javax.ws.rs.ext.MessageBodyWriterSHA-256.原创 2021-11-25 15:06:50 · 16215 阅读 · 0 评论 -
CISSP考试要求里的“应用密码学”内容辅助记忆趣味串讲
前言密码学为数据的处理、存储和通信过程提供附加的安全级别。近年来,数学家和计算机科学家开发了一系列日益复杂的算法,这些算法被设计用于确保机密性、完整性、身份认证和不可否认性。在密码学家花费大量时间开发强加密算法的同时, 黑客们和政府同样投入了可观的资源来破解这些密码学算法。这产生了密码学领域的"军备竞赛",并且导致如今使用的极其精密的算法的不断发展。本文将紧密围绕CISSP认证考试的CBK3”安全工程”考纲要求,汇合了《CISSP官方认证学习指南》第六、七章和《CISSP认证考试指南》第三章有...原创 2020-12-10 08:16:44 · 9320 阅读 · 1 评论 -
libxml库更新的问题处理记录
背景:黑鸭子扫描发现某基线里的libxml.so文件有问题,需要从libxml2.7.4升级到libxml2.9.9。搜索途径:搜点到libxml2.9.9的压缩包(官网):ftp://xmlsoft.org/libxml2/http://xmlsoft.org/bugs.html2019年1月3日发布,5.2M, libxml2-2.9.9.tar.gz将libxml...原创 2019-09-20 16:53:32 · 9986 阅读 · 0 评论 -
linux指令学习
命令行操作及常用命令使用 命令行操作 Shell简介 shell是用户和Linux操作系统之间的接口,Linux中有多种shell,缺省使用的是bash。Linux系统的shell作为操作系统的外壳为用户提供使用操作系统的接口,它是一个命令语言解释器,有自己内建的shell命令集,shell也能被系统中其他应用程序所调用。用户在提示符下输入的命令都由shell先解释然后传给L...原创 2018-09-06 19:19:50 · 9422 阅读 · 0 评论 -
研究条件变量pthread_cond_wait的机制
1条件变量的解释: 条件变量是利用线程间共享的全局变量进行同步的一种机制,主要包括两个动作:一个线程等待"条件变量的条件成立"而挂起;另一个线程使"条件成立"(给出条件成立信号)。为了防止竞争,条件变量的使用总是和一个互斥锁结合在一起。int pthread_cond_wait(pthread_cond_t *cond, pthread_mutex_t *mutex)int pthread_co...原创 2018-03-31 10:45:04 · 9739 阅读 · 0 评论 -
C语言的32个关键字和9种控制语句
转自:http://blog.csdn.net/piaoxue820/article/details/6938918http://www.cnblogs.com/wendingding/p/3675809.html ===================================================C语言的32个关键字和9种控制语句 一、C语转载 2018-02-04 21:49:52 · 11555 阅读 · 0 评论 -
FTP 上传一键脚本 ftp_upload.sh
在做批量集成测试用例开发时,会用到ftp_upload.sh。用于在Linux系统下搭建FTP客户端向FTP服务器端上传文件。 如下: TESTSVR=`getmoduleip.sh 167`TESTUSER=`getmoduleip.sh 167 user`TESTPSWD=`getmoduleip.sh 167 pswd` #upload the files o转载 2018-01-31 11:11:34 · 1124 阅读 · 0 评论