V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  houzhishi  ›  全部回复第 1 页 / 共 5 页
回复总数  99
1  2  3  4  5  
21 天前
回复了 moe3000 创建的主题 Java 服务疑似被尝试 fastjson 漏洞攻击
脚本小子在瞎跑,不用太在意,结合业务看是否可以关闭自省 @type
@houzhishi 我想大家讨论 apple 对标笔记本厂商,应该说的都不是低于 1w 的本子吧
@PDX 之前是外星人,现在是 xps 都是第二天直接上门~
258 天前
回复了 wmgx 创建的主题 程序员 西安,成都等二线城市求公司推荐
@Had 现在在头部的乙方安全厂,四叶草啥的这种不入流的就不考虑了。
262 天前
回复了 wmgx 创建的主题 程序员 西安,成都等二线城市求公司推荐
借楼,同求,西安有没有网络安全岗位,最好可以是甲方,社招。
281 天前
回复了 nannanziyu 创建的主题 C++ Windows 一分钟使用 C++ 发送 Http 请求
mark 了,感谢楼主分享,如何学习更多类似这样的包呢?
@2le 至于会话保存,我对场景的思考只能是可能服务器会对网络情况不好的时候会不会有一种优化的操作,当然这些是我的猜测,没有任何证据。
@2le 我进行了,对于下拉记录没有的历史情况进行复现尝试,我的操作时,本地端先勾选记住密码,然后连接,然后删除历史记录,然后取消勾选记住密码,下次登陆依然可以直接连接。这个情况完全可以理解为缓存文件导致的。
@houzhishi 或者下拉历史栏手动删除记录,就需要重新验证密码了
@no1xsyzy 你的思路我复现了一下,即使取消勾选,之前保存的依然在,依然可以直接连接。现在回头想,复现的时候修改一下连接密码是最有效的验证软件是否存在未授权。
@minami 如果你是用过此软件以及有开发的经验,结合官方的日志,基本可以判断,仅仅是记住密码的问题,我是此软件的老用户,而且我比较喜欢记住密码的功能,平时使用很方便。
@minami 哈哈哈,自我感觉良好,你是在说自己的吧。我是说我在 windows 下复现没有出现这种情况,不是没有复现,而且这是个跨平台的软件,验证握手是经过服务端的,理论上不同平台不影响验证流程。从安全角度讲,这种未授权访问的漏洞,不等于常见的 bug,需要一定的条件支持,而不是你说的这种不能复现随机的 bug 。
@minami 不好意思,我这边复现不了,我是 Windows 端,我脑补个锤子,是谁在脑补,我一直在说实事求是,以及严谨。mac 在家,回家后将继续尝试 mac 下的浮现。我和你是基于对开发了解的前提下,考虑,如果你觉得我是在怼你,那你可以不用回复我了。
@minami 既然大家是写代码的,那你告诉我这样的认证场景,该怎么写,如果所有连接不需要认证,那么漏洞早就应该出来了,如果需要验证,那我们就需要排除到,认证中可能存在的流程问题,比如记住连接记录。标题一上来,就是发现漏洞,丝毫没有严谨而言,我看不到作为网络安全从业者的谨慎。
323 天前
回复了 PUBG98k 创建的主题 信息安全 黑 ToDesk 的回应
从技术的角度来看这次的问题,感觉 v2 好多人刻意带节奏。我只是用户,无利益相关。
既然你是搞信息安全的,我就假定你的漏洞是真实的,你的流程也不符合规范,你应该提交相关复现细节,提交 cnvd 或者联系官方,你这样的确有法律风险。
都是搞技术的,不要这么听风就是雨,我觉得软件操作逻辑没啥问题,应该是记住密码了,如果是安全漏洞验证,你应该尝试着登录其他人的。我也是用户,第一次登陆时肯定会要求密码的,应该是之前使用过,而且没有启用每次连接更换密码。标题有问题,就别怪上面老哥说要起诉你。
341 天前
回复了 ihainan 创建的主题 分享发现 记一次 Intel NUC 的保修与退款经历
这件事要我的话,肯定是找代理商去保修。
1  2  3  4  5  
关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2182 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 26ms · UTC 16:21 · PVG 00:21 · LAX 09:21 · JFK 12:21
Developed with CodeLauncher
♥ Do have faith in what you're doing.