从SPF记录中收集资产信息

目录 HACK

SPF用于防护伪造邮件,通过白名单的方式配置仅允许接收某些源的发信。

测过很多域名,都没有SPF记录,偶然测一个欧洲域名时,发现有SPF记录,并且特别长。深入查了一波,发现是配SPF的管理员把公司所有IP段都加到SPF记录里了,这样就拿到了这家公司的所有IP资产。在修复一个漏洞的同时,带来更大的漏洞,这种情况非常普遍,所以要对安全方案深入理解。

即使没有泄漏所有IP段,也可以对暴露的某个源进行挖掘。

没啥技术含量,仅记录一次意外发现。

安全水位评估思路总结

目录 HACK, SOLUTION

近一年不断在做安全水位评估,包括公司层面的安全水位评估和业务层面的安全水位评估,投前、投后,内部、外部,站在发现真实风险非合规和安全建设者的角度,不断完善各个场景的安全水位评估方案,整理了一些思路。

安全水位评估,我认为和安全测试、渗透测试的差别是,安全水位评估要找出全链路的风险点,找出所有短板,而其中很多风险要站在安全建设者的角度去看,要可行且有价值,不然容易陷入只破不立的尴尬境地。

首先要做的是,梳理资产,也就是评估目标,有哪些机房、哪些环境、哪些办公区,之后再针对不同环境去评估,生产环境、测试环境(开发环境、预发环境等算在测试环境里)、办公环境的评估方法是完全不同的。

继续阅读 “安全水位评估思路总结”

欢乐斗地主之一天送6次豆

目录 HACK

最近斗地主发现个有趣的问题,iphone微信小程序欢乐斗地主一天送完2次豆之后,Android微信小程序欢乐斗地主还可以再送2次豆,然后欢乐斗地主App还能再送2次豆,也就是说腾讯的欢乐斗地主至少分了3个库,数据没有打通。

刚在Android上发现还能送豆时,误以为记录送豆次数的参数存在客户端本地,服务端没有校验,测了一波并没有,那就只能多蹭几次送豆了。

隔了几个月写篇博客,竟然写个这玩意,哈哈。