安全行业。简单说下作为安全从业者对账号密码传输以及存储的要求
传输层。账号明文。密码前端加密(无论什么方式。最好是单向哈希或是非对称算法)。带验证码或类似防爆破机制。
HTTPS 确实解决了传输层嗅探问题。但是如果用户计算机上被安装了恶意根证书。那 HTTPS 和 HTTP 并没有太大区别。
存储层。账号明文。密码最好单向哈希。带盐。不同用户盐不一样。算法足够复杂(单次 md5 基本可以等同于不加密)
作为后端来说并不需要知道用户的密码是什么。只需要知道输入的对不对就可以了(不管是修改密码还是登陆的逻辑)
有其他的问题欢迎讨论

凑成分母

@priate Mac 并不影响做安全啊。御剑主要是扫目录。用 dirbrute 代替即可。字典都是一样的。其他绝大部分 win 下的工具都可以在 mac 下找到替代

mac 有 unix 命令行。比 win 好多了
扫端口有 nmap 和 masscan
搞 web 有 Burp Suite。有 chrome。
菜刀类 Webshell 管理可以用蚁剑
mac 还可以装 msf 整套。brew 一条命令搞定。比 Win 简单多了
sqlmap 也是 brew 一把梭
mac 自带 py 环境。还可以 brew 直接装更新的。
git 也是一条命令搞定
扫目录这些都是 py 脚本
mac 下也有 IDA。有 010Editor。
这些常用的安全工具几乎就齐了
写程序有 VSCode 有 Sublime。IDE 统统都是跨平台的
大部分工具不是 jar 就是 python。都是跨平台的东西
我打 CTF。出去做渗透项目一直用 mac 本子。除非平台限定(exe 类程序)。不然我几乎就不开 Win 虚拟机
我有点不明白。你的难点在什么地方。我用 Mac 快 4 年了。天天跟安全打交道。至今没感觉 MacOS 这个操作系统限制了我什么

当前安全行业半自由。以前搞渗透做服务的。现在偶尔做点渗透方面的事情。主要精力在 CTF 比赛方面。给个我在 17 年知乎上的一个回答。希望能够给你一点启发
https://www.zhihu.com/question/67765799/answer/259845720

@phithon 活捉 ph 牛

@laball 这我也说不来。虚拟机挂掉原因很多。要不先确定一下是宿主的问题还是虚机的问题。自上而下排查

这么几个问题
1.钱包密钥本身就不应该放在有业务的服务器上
2. ssh 关闭密码。仅使用私钥登陆就没问题
3. 特定端口的安全性取决于你的服务是否有锅。比方说你只开了 80 和 22。结果 80 的站有严重的安全问题。一样 gg
4. Redis 那个问题。如果你没用 redis 就和你没关系。如果你用了。htop 看看 redis 衍生出来的子进程权限不是 root 就行
5.数据库这个。如果是 mysql 且是用包管理安装的话。理论上没什么问题。而且你还做了白名单
6. 安全是一个木桶效应问题。具体问题要具体对待。一蹴而就是不行的

@ihacku 然后猫获得可移动座驾*1

@laball 听你的描述应该是厂商 OCX 这里出的问题。我个人猜测是 OCX 这里接收到数据处理的过程可能发生了比较高的 cpu 占用或是数据不对引发整体崩溃而导致服务不可用。有点类似于拒绝服务攻击。我的想法是看看 ocx 的具体实现。如果不复杂的话考虑自己重写代替

@joyfun @wujichao 接上面，你的数据是发给商户服务器。然后商户服务器与微信那边通信的。
因为 SDK 中存在这个问题。最终的结果就是你向商户服务器发送了恶意的请求。攻击了商户的服务器。服务器上一切秘密的东西对攻击者来说都不秘密。至于伪造一个假订单。低价购买高价格东西也不是什么难事。所以这里面关于密钥以及 callbackurl 都是攻击者能够知道并控制的

@RIcter 安全圈里。各种撕逼事情多的去了。乱的一匹啊。。。

@wujichao 漏洞原因是 Java 版本的 SDK 在对提交来的数据支持 JSON 及 XML 格式的数据。而 XML 的处理未做充分验证导致可以在 XML 中引入外部实体。简单来说是可以造成命令执行(RCE)。读取任意文件以及服务端请求伪造(SSRF)。这种漏洞在业内被称为 XML 扩展实体漏洞(XXE)。相关资料可以看看 OWASP 的介绍
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing
所以拿到 CallbackURL 并不是什么难事

@laball 宿主机跑 exsi。虚拟机随你跑啥系统。不是应用于服务器领域的就都得跑 server 系统。你爱装什么装什么。你的硬件交互具体是什么。串口还是？
如果是串口的话。我建议可以找个类似于树莓派的小板子把数据走网络。这就很方便了

生产环境建议专业的虚拟化方案。例如 EXSI 而不是 VMWare Workstation 这种个人化解决方案
以及。具体卡死的状态。虚拟机里有什么服务。能否提供日志及截图等。
直接这么问和我电脑为啥这么卡。。没什么区别。无法定位问题根本

@terrywater 简单来说。首先得懂代码懂数据库。然后懂常见的各类 Web 漏洞成因。例如 SQL 注入。XSS。上传。越权。任意文件读写。未授权访问等等。尤其是这些漏洞在代码层面是个什么样子。你可以下载个 dvwa 看看有漏洞的代码什么样子。怎样写这个功能才没有问题等等。

@dlsflh 你好。问一下你的 5t 是怎么刷的 lineageos。我这里尝试了 o2os h2os 底包都刷不过去，卡启动画面。直接格式化手机刷包。会无限循环 recovery
你当时刷的时候使用的底包是什么

作为使用者来说。想知道有没有偷鸡摸狗还是需要有一定的功力
第一层。wireshark 抓包。不过如果通信加个密你就凉凉
第二层。做固件分析。对相关程序做逆向工程。需要有比较高的水平。不过能够分析的比较透彻。整个过程类似于病毒的行为分析