原创 非對稱加密與OpenSSL
隨着個人隱私越來越受重視, HTTPS也漸漸的流行起來, 甚至有許多網站都做到了全站HTTPS, 然而這種加密和信任機制也不斷遭遇挑戰,比如戴爾根證書攜帶私鑰,Xboxlive證書私鑰瀉露, 還有前一段時間的沃通錯誤頒發Github根域名S
2022-08-10 13:10:14
原创 關於DNS,你應該知道這些
在互聯網時代中,如果要問哪個應用層協議最重要的話,我想答案無疑是DNS.雖然我們每天都享受着DNS服務帶來的便利, 卻對它往往知之甚少.因此本文就來介紹一下DNS協議的工作流程,真正認識一下這個支撐着龐大互聯網絡的基礎服務. 前言 DNS協
2022-08-10 13:10:14
原创 WEB中的敏感文件泄漏
文件泄露, 根據泄漏的信息敏感程度, 在WEB漏洞中可以算是中危甚至高危的漏洞, 本篇文章就來 介紹下一些常見的泄漏, 主要分爲由版本管理軟件導致的泄露, 文件包含導致的泄露和配置錯誤導致的泄露. 版本管理軟件造成的泄露 git git可以
2022-08-10 13:09:44
原创 軟件開發的一些"心法"
從事軟件開發也有好幾年了,和一開始那個懵懵懂懂的小菜鳥相比,自己也感覺到了一些變化. 也許是熟能生巧, 趟過很多坑,但核心的絕不是這些細節的東西. 打個比方,如果說對某種語言的特性和技巧的掌握屬於身法, 那麼對應核心的東西,就叫心法. 沒有
2022-08-10 13:09:44
原创 漫談逆向工程
逆向工程,原名Reverse Engineering,簡稱RE。關於其書面介紹我就不復制粘貼百度百科了,簡而言之就是從發佈的產品中反向分析其程序邏輯和算法——基於各種目的。 引言 準確地說,逆向工程包括軟件逆向工程——即本文所討論的,也包括
2020-09-20 12:59:52
原创 iOS應用構建小結
注:本文首發於我的個人博客:https://evilpan.com/2019/04/06/ios-basics/ 上篇文章介紹了Objective-C的基本概念,本文就來接着看如何創建我們的第一個簡單iOS應用, 本着簡單可復現的方式,
2020-03-08 13:52:58
原创 Linux64位程序中的漏洞利用
之前在棧溢出漏洞的利用和緩解中介紹了棧溢出漏洞和一些常見的漏洞緩解 技術的原理和繞過方法, 不過當時主要針對32位程序(ELF32). 秉承着能用就不改的態度, IPv4還依然是互聯網的主導, 更何況應用程序. 所以理解32位環境也是有必要
2020-03-05 13:50:48
原创 快速自檢電腦是否被黑客入侵過(Linux版)
之前寫了一篇快速自檢電腦是否被黑客入侵過(Windows版), 這次就來寫寫Linux版本的. 前言 嚴謹地說, Linux只是一個內核, GNU Linux纔算完整的操作系統, 但在本文裏還是用通俗的叫法, 把Ubuntu,Debian
2020-03-05 13:50:48
原创 深入瞭解GOT,PLT和動態鏈接
之前幾篇介紹exploit的文章, 有提到return-to-plt的技術. 當時只簡單介紹了 GOT和PLT表的基本作用和他們之間的關係, 所以今天就來詳細分析下其具體的工作過程. 本文所用的依然是Linux x86 64位環境, 不
2020-03-05 13:50:48
2
原创 radare2逆向筆記
最近剛開始學習逆向(Reverse Engineering), 發現其學習曲線也是挺陡峭的, 而網上的 許多writeup文章主旨總結就六個字:"你們看我屌嗎?" ...幾近炫技而對初學者不太友好. 所以我打算以初學者的身份來寫寫自己從入
2020-03-05 13:50:48