问题标签 [network-security]

是否可以读取/写入/删除其他应用程序创建的文件或文件夹中的数据？我 99% 确定 Android 操作系统不会提供此类权限，但 100% 确定，我想知道这一点。整个背景是，如果我从外部来源下载 Android 应用程序，我可能会遇到什么样的安全威胁？

我正在从我的 cmd ping 一个工作站点，我得到了这个：

出于显而易见的原因，我已经审查了 IP 和域。可以通过我在这台机器上的浏览器访问该站点。

我的问题是，他们如何/为什么要这样做？

Nogotofail 最近由 Google 发布，我想用它来测试我创建的连接到 C# 服务器的 Android 应用程序。

我通读了文档，对如何使用它感到困惑。我有 ubuntu 在我的笔记本电脑上作为虚拟机运行。我的设备上安装了 Nogotofail 附带的两个 Android 应用程序。我相信我遵循了这些步骤，但没有得到任何结果。有没有人用这个来测试和Android应用程序？？？

这是 git 上关于测试 Android 的文档所说的：

我的应用程序连接到我的 localhost:443 上的服务器并发送一条消息并接收来自服务器的响应。我在哪里指向在 ubuntu 上运行的 nogotofail.mitm？我在哪里将 nogotofail android 应用程序指向它显示主机地址的位置？

Nogotofail 刚刚于 2014 年 11 月问世，因此在教程方面没有太多内容......甚至在堆栈上也没有......任何帮助将不胜感激

我们目前将内部数据暴露给外部世界的设置是在我们的 DMZ 中拥有一个 Internet 服务器，该服务器可以访问位于我们受保护网络中的数据库服务器。但我被告知这是不安全的，因为可能会将所有数据库暴露给外界。这是真的？

他们说我们应该改为在两者之间增加一层.. 一个应用服务器，它通过例如 Web API 向 Internet 站点公开方法。这样，只有 Web 方法可能被暴露，而不是整个数据库服务器。

这是更“正确/理想/最佳实践”的架构吗？我希望事情尽可能简单，但也需要保证我们的数据安全。如果我们想向外部世界公开方法，那么外部应用程序将（当然是安全地）调用 Web 方法，而 Web 方法又会在应用服务器上调用相同的 Web 方法。似乎有很多重复，但在当今不安全的世界中可能是必要的？

感谢您的任何建议。

我对 FireSheep 的工作原理有点困惑。官方网站将会话劫持描述为小菜一碟。我的问题是，cookie 信息如何在不使用中间人技术的情况下路由到攻击者的系统？如果我是攻击者，即使我（攻击者的）网卡配置为混杂模式，网站也不会直接将合法用户的 cookie 发送给我，对吗？我在这里想念什么？抱歉，我在网络安全方面没有太多经验。如果这个问题看起来很愚蠢，请容忍！我已经尝试了很多谷歌搜索，但找不到满意的答案！提前致谢！

我有一个看起来像这样的ROP小工具-

正如您一定猜到的那样，它只会产生一个“/bin//sh”。我希望它生成一个远程 shell，其命令是：

谁能帮我创建一个小工具来执行远程shell。我尝试查看此链接，但不太了解。

我正在开发一个基于组安全信息共享环境的项目。我们正在开发一个实现 GSAKMP（组安全关联密钥管理协议）的 Web 应用程序。这是其源代码的链接。 http://www.ietf.org/rfc/rfc4535.txt http://gsakmp.sourceforge.net/ 不幸的是，此链接上的源代码不可用。同样与基于 Web 的实施相关，没有可用的在线帮助。我在基于 HTTP 的群组通信和群组加入请求方面遇到问题。有没有人可以在这方面提供帮助。这是一个通用的求助电话，但我将与有关人员详细讨论。需要一个方向。

这个问题的目的是我只是想更好地理解 P2P 和网络以及安全/加密的性质。我是一名前端 Web 开发人员，如果我们低于 HTTP 请求，我对网络堆栈的了解并不是很好。

话虽如此，我试图了解 ISP 如何“嗅探”洪流流量以及识别的内容。我觉得这个问题会暴露我的无知，但是不可能有某种不那么可读的类似 HTTPS 的 P2P 协议吗？

我知道给定的数据包必须沿途识别其到网络的目的地，但不能将 torrent 数据包配置为仅显示其目的地，以便在到达目的地之前没有人可以识别其目的？为什么 ISP 可以只查看 P2P 流量并了解它的一切，而 SSH 却非常安全，这显然是一种无法纠正的情况？

因此，我的 ISP（Smartfren；印度尼西亚）决定开始使用 iframe 脚本注入所有非 SSL 页面，允许他们在页面中插入广告。这是正在发生的事情：

1. 我的浏览器向服务器发送请求。ISP 拦截它并返回一个在 iframe 中加载请求页面的 javascript。

2. 除了原则上令人讨厌之外，这种注入还破坏了任何数量的标准页面功能。并带来可能的安全隐患。

到目前为止我试图做的事情：

1. 使用 GreaseMonkey 脚本消除注入的代码并重定向到原始 URL。结果：破坏了一些合法的 iframe。此外，ISP 的代码会被执行，因为 GreaseMonkey 仅在页面加载后才会启动。

2. 使用 Privoxy 作为本地代理并设置过滤器以清理注入并将其替换为纯 JavaScript 重定向到原始 URL。结果：破坏了一些合法的 iframe。ISP 的代码永远不会进入浏览器。

您可以在以下粘贴处查看我一直在处理的 GreaseMonkey 和 Privoxy 修复：http: //pastebin.com/sKQTvgY2 ... 以及 ISP 注入的示例。

理想情况下，我可以将 Privoxy 配置为在检测到更改时立即重新发送请求，而不是过滤掉注入的 JS 并将其替换为 JS 重定向到原始 URL。（当立即重新发送相同的请求时，ISP 注入将被关闭。）我还没有弄清楚如何实现这一点。我相信它会解决 iframe 破坏问题。

我知道我可以切换到 VPN 或使用 Tor 浏览器。（或更改 ISP。）我希望有另一种方法。有关如何消除这种滋扰的任何建议？

我正在尝试在 Linux 上用 C/C++ 简单实现 Heartbleed Bug（在 vmplayer 上使用 ElementaryOS）。根据我对 heartbleed bug 的理解，它涉及客户端向服务器发送心跳请求，为包含的有效负载指定比有效负载的实际大小更大的大小，这导致服务器包含将布局的内存中的内容在本地有效负载缓冲区之后，在响应中。

到目前为止，我拥有的是一个客户端/服务器应用程序。客户端连接到服务器并发送一条敏感信息，在本例中为密码。接下来，客户端向服务器发送心跳请求，指定错误的有效负载大小。我像这样声明我的局部变量：

我从心跳请求中检索内容，如下所示：

在心跳请求中，有效载荷是“有效载荷”，大小是 45。然后我像这样调用 memcpy()：

我期望有效负载变量保存值“有效负载”，然后是密码变量中的内容。但是有效载荷仅包含值“有效载荷”。

谁能指出我做错了什么？

所有代码：