2018年07月__0x00

原创 Java基础[eclipse]

* A:程序的编译和运行的环境配置(一般不改) * window -- Preferences -- Java * 编译环境：Compiler 默认选中的就是最高版本。 * 运行环境：Installed JREs 默认会找你安装的那个JDK。建议配置了Java的环境变量。 * 问题： * 低编译，高运行。可以。 * 高编译...

2018-07-31 08:46:26 134

原创 Android安全[app风险]

Activity组件暴露风险描述Activity组件的属性exported被设置为true或是未设置exported值但IntentFilter不为空，activity被认为是导出的，可通过设置相应的Intent唤起activity。危害描述黑客可能构造恶意数据针对导出activity组件实施越权攻击，注入/越权，拒绝服务，劫持/隐式意图等。安全建议如果组件不需要与其他ap...

2018-07-26 17:47:17 2443

原创 Java基础[object 1]

* 多态概述 *事物存在的多种形态* 多态前提要有继承关系要有方法重写要有父类引用指向子类对象 class Test{ public static void main(String[] args){ Cat c = new Cat(); c.eat(); Sy...

2018-07-23 18:06:40 259

原创密钥基础[场景应用]

数据的加解密和签名[但是不能防止中间人攻击得加入证书验证部分才行]验证手机端数据过程：那么这里一共有两组四个密钥：车机端的公钥（PUB_A），车机端的私钥（PRI_A）；手机端的公钥（PUB_B），手机端的私钥（PRI_B）1.对信息内容M计算摘要，得到摘要D2.使用手机端私钥对D进行签名，得到签名S3.使用车机端的公钥,将信息内容M和签名S进行加密4.发送给车机端5.车机端接...

2018-07-23 18:02:04 805

原创 Java基础[Object]

* A:构造方法概述和作用 * 给对象的数据(属性)进行初始化；构造方法：不能被调用，但是在创建的时候就会执行。* B:构造方法格式特点 * a:方法名与类名相同(大小也要与类名一致) * b:没有返回值类型，连void都没有 * c:没有具体的返回值return;* 画图说明一个对象的创建过程做了哪些事情?* Student s = new Studen...

2018-07-19 21:40:27 136

原创无线安全[蓝牙基础命令]

安卓查看蓝牙：在拨号界面，输入 *#*#2846579#*#*，手机会自动跳转（安卓一般方法）系统启动后，查看设备：root@Xstorm:/mnt# lsusbBus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hubBus 002 Device 005: ID 1d50:6002 OpenMoko, Inc. B...

2018-07-19 11:00:56 2971

原创 Java基础[Array&Object]

* A:为什么要有数组(容器) * 为了存储同种数据类型的多个值* B:数组概念 * 数组是存储同一种数据类型多个元素的集合。也可以看成是一个容器。 * 数组既可以存储基本数据类型，也可以存储引用数据类型。* C:数组定义格式数据类型[] 数组名 = new 数据类型[数组的长度];###05.02_Java语言基础(数组的初始化动态初始化)* A:什么...

2018-07-19 09:07:43 654 1

原创 Java基础

* A：&&和&的区别 * a:最终结果一样。 * b:&&具有短路效果。左边是false，右边不执行。 * &是无论左边是false还是true,右边都会执行* B:同理||和|的区别 * a:最终结果一样。 * b:||具有短路效果。左边是true，右边不执...

2018-07-17 20:59:28 122

原创无线安全[wifi基础知识]

测试思维导图测试工具集windows platformVistumbler 主动式扫描/Google Earth实时可视化/GPS定位KML文件生成器 NetMon/ 被动嗅探 AirPcap 被动嗅探/关联各种程序，如：cain,wireshark CommView 可以捕获加密通信的协议握手过程，导入到aircrack-ng中进行破解/数据发送功能/数据包注入[商业版]...

2018-07-12 16:17:38 692

原创无线安全[蓝牙基础知识]

基本架构配对模式BLE SECURE CONNECTION【蓝牙4.2】配对又有了四种配对模式[传统和低功耗配对有些不一样]：JUSTWORK，PASSKEY ENTRY，NUMERIC COMP，以及OOB，同样类同于SSP，JUSTWORK防止不了MITM。威胁建模[思维导图]相关基础知识整个蓝牙协议体系结构可分为底层硬件模块、中间协议...

2018-07-09 17:44:30 1004

转载无线安全[蓝牙测试案例1-metasploit]

背景刚接触蓝牙，于是玩了那么一下下，现在分享出来，希望能与大家一起学习先来了解蓝牙哈 (¯▽¯)~（如果哪里错啦，希望大大萌轻点打~(>﹏<)~）初次相识蓝牙是一种低功率，近场通信的通用协议，工作在2.4 – 2.485 GHz，使用扩展频谱，每秒1600跳频（频率每秒改变1600次）跳频了解：http://baike.baidu.com/link?url=0cwO...

2018-07-05 16:59:25 2595

原创 SDL[项目生命安全周期解决方案]

项目概述1.1 文档目的本文档为xx安全团队针对xx项目生命周期给出的安全评估系统方案，意义在于SDL使项目在设计，代码开发，测试中与安全相关的漏洞减到最少和后续安全工作的进行。1.2 覆盖范围本文档内容仅覆盖项目生命周期安全控制的实现方式，不包括项目生命周期安全控制平台实现后的具体运营。1.3 术语定义SDL：安全开发生命周期（SDL）即SecurityDevelopme...

2018-07-05 10:18:15 3906

评估对业务有影响的攻击，禁止使用快速定位：分析局部网络查看机器本地网络:net view /domain网络追踪：tracert，traceroute，nslookup，dig查看路由信息：arp -a，route -n查看本地网络和hosts：ipconfig，ifconfig， cat /etc/hosts，cat .bash_history，mstsc查看浏览器历史,子域名爆破网络连接查看：...

2018-07-05 09:40:45 192

原创 SDL[代码审计方案]

1.背景和需求背景：目前大部分企业的安全都存在问题，修复完了以后随着业务的变更又出现了新的问题，该怎么解决呢？？？ .....此处省略100字的介绍...需求：为了防止一些通用型,业务逻辑和严重的poc漏洞产生，需要从根源上入手提高业务代码的安全质量防止随着业务的更新和迭代出现新，老问题 2.解决方案和实现方法, 周期[排期]目前现状：代码管理仓库不统一：gitlab...

2018-07-05 09:29:44 1325

0x00的博客