辛勤搬砖的门卫

摘要： 一、概述 因使用真随机数需要硬件支持，在硬件不支持时，我们需要通过软件来实现伪随机数生成器。根据NITS SP 800-90A的推荐，推荐的随机数生成为HASH_DRBG、HMAC_DRBG、CTR_DRBG。本文主要介绍如何通过mbedtls移植实现CTR_DRBG生成随机数。 二、 mbedtl 阅读全文

摘要： 一、综述 VBF（Versatile Binary Format）是主机厂常用的一种固件发行文件格式，包括沃尔沃、福特、吉利等均采用此格式。 二、格式 2.1 格式简介 VBF文件包含三部分：VBF版本段、文件头段、数据段。 VBF版本段：表明当前VBF文件使用的版本号。版本号使用ASCII码存储； 阅读全文

摘要： 一、概述 随着软件定义汽车理念的普及，汽车上代码量不断膨胀，功能不断智能化，用户体验不断升级。从传统汽车不需要联网，到智能汽车具有联网功能已是标配，汽车触网必将带来更多信息安全问题。汽车的信息安全问题比IT领域更加重要，因为可能危及生命安全。故国家也出台强标《汽车整车信息安全技术要求》（目前还处于征 阅读全文

摘要： 一、前言 入职一年，一个人扛所有安全，杂事不断，无暇将精力集中在应用安全，所以devsecops建设是一拖再拖，目前也仅实现上线前渗透测试和安全卡点工作。现在总算有精力践行devsecops，所以思考下如何因地制宜的落地devsecops，做个规划。 二、现状、原则和目标 2.1 现状 目前公司应用 阅读全文

摘要： 基于 ELK 构架的日志收集平台，很多公司都搭建好了，但 ELK 只是做到了收集存储，缺少了分析功能。博主作为信息安全从业人员，需要对所有收集的日志进行安全分析，给出处理结果，这样才算完成一个闭环。正好目前所在的公司也准备启动日志分析工作，所以最近研究了日志分析平台。日志分析平台主要目的是收集生产和 阅读全文

摘要： 一、概述 fastjson自2017年爆出序列化漏洞以来，漏洞就一直停不下来。本次主要研究2017年第一次爆出反序列化漏洞。 二、漏洞复现 首先在本机简单进行下漏洞复现。 创建Poc类 该类为最终触发利用代码的类，因为是通过JAVA RMI方式读取，所以该类需继承UnicastRemoteObjec 阅读全文

摘要： 一、RMI概述 java RMI（remote method invocation）即远程方法调用，是允许运行在一个java虚拟机上的对象调用运行在另外一个java虚拟机上的对象的方法，JAVA RMI实现JAVA程序之间跨越JVM的远程通信。通过RMI可以让调用远程JVM上对象方法，仿佛调用本地J 阅读全文

摘要： Apache Commons Collections反序列化漏洞必然是2015年影响重大的漏洞之一，同时也开启了各类java反序列漏洞的大门，这几年大量各类java反序列化漏洞不断出现。java反序列化漏洞基本一出必高危，风险程度极大，最近研究了一些反序列化漏洞，本篇记录apache commons 阅读全文