作者:滴滴出行DSRC 2017年初,在滴滴安全沙龙上,滴滴出行安全专家——付超红,针对App的攻与防进行了分享。会后大家对这个议题反响热烈,纷纷求详情求关注。现在,付超红详细整理了《Android代码入侵原理解析》,在滴滴安全应急响应中心的微信公众号开始连载。技术干货满满,敬请关注。 1.代码入侵原理 代码入侵,或者叫代码注入,指的是让目标应用/进程执行指定的代码。代码入侵,可以在应用进行运行过程中进行动态分析,也是对应用进行攻击的一种常见方式。我把代码入侵分为两种类型:静态和动态。静态代码入侵是直接修改相关代码…
法律风险下,挖漏洞就像好人提醒仓库管理员关门,最具“情商”的提醒办法是进去后不拿金银珠宝,只拿一把扫帚,证明仓库是有被入侵风险的即可。 同样的信息,黑产犯罪人员可以在卖给A买家后,再卖给B、C、D买家,收到信息的人也可以做“二房东”,接着卖,这意味着,100万条信息会被“榨干”到完全失去价值后才被放弃,累计收入可能达到上千万元。而白帽将这些信息作为漏洞提交可能只有3000元奖励。 相对黑产而言,白帽子是一群弱势群体。 在美国职业篮球(NBA)常规赛的竞技舞台上,每个月都会评出一个月最佳球员,如果某一球员拿到这一殊荣…
AppleScript介绍 AppleScript是从Mac OS 7(1991年)开始Mac OS就原生支持的脚步语言。Mac OS中很多系统软件,尤其是有UI界面的系统软件,都有AppleScript的身影,其他很多地方也有它的身影,自然而然,功能强大毫不含糊。 AppleScript在家庭类用户、专业类用户中很流行,它很好地衔接了OS本身的功能与第三方应用能提供的功能。为了AppleScript创建应用、系统服务更加快捷,Apple甚至从Mac OS 10.4就开始加入了支持拖拽开发的Automator(可快…
作者:360代码卫士 翻译:360代码卫士 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 赢得大选的法国总统马克龙谴责黑客泄露其竞选团队的员工邮件。 上周五晚,马克龙9 GB的内部文档被泄露到Magnet文件共享网络,而当时距选民在周日的投票时间不到两天。这些资料是在政府官员和候选人被禁止在缄默期公开讨论竞选宣布之后泄露的。被泄文件包含战略文档、金融数据和马克龙竞选活动人员的个人通信。马克龙此时遥遥领先其竞争对手勒庞。 目前尚不清楚有多少被泄数据是合法且真实的,不过马克龙团地认为黑客确实已经…
E安全5月7日讯 国外安全公司之前对网络犯罪分子常使用的即时通讯工具做了一番调查调研。作为网民大国,中国自然也引起了他们的兴趣。网络安全公司Flashpoint表示,99%的中国网络犯罪分子通过大众即时通讯工具沟通,例如QQ和微信。Flashpoint认为,腾讯与政府审查和监控机构有广泛的合作关系。 对于外界而言,网络犯罪分子选择这样的通讯环境看起来相当冒险,但即使这样,也没能阻止黑客使用这两大热门即时通讯工具。 Flashpoint东亚研究与分析总监乔恩·康德拉表示,人们一般认为非法分子至少会使用不被明确监视的平…
2017-05-07 23:04 5月7日,由河南省公安厅、河南省工业和信息化委员会、河南省教育厅联合指导,河南省计算机学会、CCF郑州、CCF YOCSEF 郑州共同主办,中原工学院承办,安恒信息协办的“安恒杯”河南省第二届信息安全与攻防技术大赛,在河南省中原工学院圆满闭幕。在为期2天的解题赛和对抗赛中,来自河南省22家单位(18所院校和4家企业)的42支队伍共计125名选手参与了角逐,最终中原工学院的“凌晨三点半”团队斩获冠军。大赛期间,还举办了学术报告会、CTF讲座与体验、网络安全人才培养经验分享等主题论坛。…
E安全5月8日讯 据网上泄露的一份草案文件显示,英国政府正赋予自身更多权力以监视即时通信。这份草案文件由开放权益组织(Open Rights Group)获取并泄露。 在这份技术能力通知草案中,英国政府要求通信公司在一个工作日内提供指定个人所有的通信内容的实时访问权,以及与此人相关的“第二数据”,即包括加密数据。 这意味着英国相关的机构组织不得对用户数据进行端对端加密,并且按照法律规定,还应在系统中插入后门,以便英国当局可以读取用户的所有通信。 英国当局将要求通信提供商部署实施拦截系统进行批量监控,而这样的拦截系统…
中国信息产业网 / 国际 / 2017-05-08 12:14 澳大利亚总理特恩布尔日前宣布发布政府首次年度修订版《国家网络安全战略》。该战略于2016年4月推出,涵盖33个网络安全计划,投入资金达2.311亿澳元(约合12亿人民币)。 当时网络犯罪每年给澳大利亚带来10亿多澳元(50多亿元人民币)的直接损失。该战略的发布旨在在政府、研究者和企业之间建立一个国家“网络合作网”,并构建一个能够更加有效地监测、阻止和应对网络威胁、可预测风险的强有力的“网络防御网”,最大限度减小经济损失。 根据修订版战略,下一步澳大利亚…
前言 几个月前,我挖到了一个Twitter的XSS漏洞,同时绕过了站点的内容安全策略(CSP)成功执行了JavaScript代码。在本篇文章中将主要向大家分享该XSS漏洞挖掘的思路及具体细节,同时在文章中附带了PoC演示视频。 漏洞分析 存在漏洞的站点为https://apps.twitter.com,当开发人员创建应用时可以设置服务网站(Website)信息,用于提供对应用程序更加详细的描述,及应用下载等功能。 经过测试后发现,Twitter的开发人员对该处输入的内容在服务端的正则校验可能是这样:([https?…
前言 上一篇文章已经为大家推出了MySQL注入攻击与防御,这里再写一下MSSQL注入攻击与防御,同样对与错误的地方希望大家指出共同进步 本文所用数据库涉及SQL Server 2k5,2k8,2k12,其次对于绕过姿势和前文并无太大差别,就不做过多的讲解,主要放在后面的提权上 系统库 注释 实例: 1 2 SELECT * FROM Users WHERE username = '' OR 1=1 --' AND password = ''; SELECT * FROM Users WHERE id = '' UN…
写在前面的话 PowerShell是网络安全专家、IT管理员以及黑客们最喜欢的工具之一,这一点是毋庸置疑的。PowerShell的可扩展性和其强大的功能让微软操作系统的可控制程度上升到了一个前所未有的等级。简单说来,Powershell 是运行在windows机器上实现系统和应用程序管理自动化的命令行脚本环境,而它可以算是颠覆了传统的命令行提示符-cmd.exe。 在Binary Defense(一家专业从事网络安全业务的公司)中有着大量PowerShell的拥护者,无论是进行自动化测试也好,还是进行复杂的程序分析…
根据 IBM X-Force 安全团队新近展开的一项分析,银行木马 TrickBot 已推动新一轮网络攻击,主要瞄准英国、澳大利亚与德国的私人银行、私人财富管理企业、投资银行、养老保险与年金管理机构。 报告显示,该银行木马黑客不断在攻击列表中添加重定向攻击。专家在检查每个网址后发现,攻击者一直在做大量 “ 功课 ”。调查表明,现有配置文件充斥私人银行、私人财富管理企业、投资银行,甚至养老保险与年金管理机构,位于英国的全球历史最悠久的银行之一也成为潜在攻击对象。 TrickBot 最初于 2016 年 9 月由安全公…
据外媒本月 2 日报道,备受用户欢迎的加密货币交易平台 Btc-e 发布网络钓鱼邮件数量激增预警,推测当前趋势或为新一轮垃圾邮件或恶意软件传播活动来临前兆,提醒比特币社区用户加强安全意识。 调查表明,该垃圾邮件包含密码与 Microsoft Word 文档各一,发件人名称各不相同,包括 Pierce Cynthia 与 Parsons Dillon 等。 攻击者引诱受害者 “ 查阅附件 Btc-e 代码 ”,并声称账户信息赎回时限仅有数小时。知情人士表示,攻击者声称该 Word 文档处于加密状态(实为一份图像文件)…
据外媒本月 2 日报道,卡巴斯基目前正监控百余个黑客组织的活动,范围波及 80 多个国家的各行各业,其中不乏黑客组织 Lazarus APT 与 StoneDrill 等。 Lazarus(音译 “ 拉撒路 ”,又名 BlueNoroff )堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年即已涉足摧毁数据与破坏系统的网络间谍活动。Lazarus 还曾瞄准孟加拉国纽约联储与波兰银行展开攻击。 据卡巴斯基实验室报道,针对全球银行机构的黑客活动仍在持续。专家近期再度发现与 L…
据外媒 cnet 报道,等到 2018 年,全球的工厂将拥有 130 万台机器人— 130 万台可能会遭到黑客攻击的机器人。从咖啡师到匹萨厨师,自动化正在快速占领经济,它将可能要在 2021 年从美国人手中抢走 6% 的工作岗位。制造手机、汽车、飞机的工厂现都已经高度依赖自动组装设备。虽然人类无法跟上机器人的速度、力量以及耐力,但他们却能通过网络攻击的方式 “ 打败 ” 它们。 网络安全公司 Trend Micro 近期对 ABB 、发那科、三菱、川崎、安川机器人进行的一系列测试发现,工厂机器人的网络安全机制非常薄…
谷歌于 5 月 3 日及时解决针对谷歌 Docs 服务用户的一起大规模钓鱼攻击。据悉,这起钓鱼骗局在网络上快速传播,试图入侵用户的谷歌账号。许多用户表示,这起骗局的设计非常精巧,令人难以防范。谷歌向用户发出建议,即不要点击陌生链接。随后,谷歌发布 Twitter 消息称,局面已经得到了控制。钓鱼攻击并不新颖,而谷歌用户也常常成为被钓鱼的目标。 2014 年,类似的骗局瞄准了谷歌 Docs 和 Drive 用户。有报道称,此次的攻击瞄准记者和教育行业人士。但此次骗局略有不同,其目的是获得用户帐号的访问权限,而不是直接…
据外媒本月 3 日报道,勒索软件 Cerber 新变种突现,具有多途径传播与文件加密功能,以及包括防沙箱与反杀毒软件技术在内的防御机制。 调查表明,Cerber 攻击事件不仅占 2017 年第一季度勒索软件攻击总量的 87%,还于过去一年内持续攀升至勒索软件排名榜榜首。2017 年 4 月,趋势科技( TrendMicro )安全研究人员发现 Cerber 已存有六个版本,加之采用的 RaaS 出售模式可为运营商与开发人员创造数百万美元收入。 TrendMicro 威胁分析师吉尔伯特·西森(Gilbert Siso…
互联网时代,网络安全不容忽视。今年6月1日起,《中华人民共和国网络安全法》(以下称《网络安全法》)将实施。《网络安全法》将如何为个人信息安全护航?将为企业带来哪些影响?记者采访相关专家,一一进行了梳理。 加强个人信息保护,规范收集行为 据中国互联网络信息中心《第38次中国互联网络发展状况统计报告》,截至2016年6月底,中国网民规模达7.1亿,互联网普及率达51.7%,其中手机网民规模达6.56亿。网络在成为生活一部分的时候,网络安全问题也不容忽视。《网络安全法》的出台,将会给个人带来哪些影响? 重庆邮电大学网络空…
这一漏洞利用采用了与Mirai相同的攻击载体,但危险性更高 Radware最新发布的Radware ERT预警中,最早揭露了PDoS攻击。这些攻击可以经由命令进行远程执行,最终可能会破坏存储、中断连接并导致设备无法正常运作。这些攻击针对的是连接至互联网的基于Linux/BusyBox的IoT设备。已发现的攻击利用了与Mirai相同的漏洞利用载体,可以强制破解远程登录方式。 发现该恶意软件的Radware EMEA地区安全专家及研究人员Pascal Geenens表示:“我们将其命名为‘BrickerBot’不是因为…
5月2日,由国家互联网应急中心和中国互联网协会主办的国家互联网金融安全技术专家委员会(以下简称 “专委会”)向社会首次发布“网贷企业综合测评指数(试行)”,同时也向互联网金融企业发出邀请,参与综合测评。在分析人士看来,这个网贷综合测评指数虽非官方指数,但能在一定程度上帮助小白投资人降低平台选择难度,从而有助于P2P投资被更多的人接受,走入大众市场。不过,如何保证公平性成为了市场关注的焦点。 企业自愿参与测评 据了解,本次网贷测评内容主要分为五大部分,分别是企业实力、企业资质、运营指标、网安防护、舆情情况。企业需按照…
据外媒报道,IBM 已经向客户发出了一份警告,原因是其出货的 USB 闪存盘中包含了恶意代码。IBM 声称,在其为 IBM Storwize 准备的初始化工具中,有部分编号为“01AC585”的 USB 闪存盘被感染。该问题影响到了部分 IBM 面向数据中心的 Storwize 大数据存储系统,涉及型号 V3500 - 2071(02A 和 10A 机型)、V3700 - 2072(12C / 24C / 2DC 机型)、V5000 - 2077(12C 和 24C 机型)、以及V5000 - 2078(12C 和…
前言 由于ISP替代了易受攻击的路由器,供渗透测试人员选择的诸如Reaver这样的工具越来越少,对于特定的目标,哪些工具有用与否能够确定的也很少。而如果采用暴力破解WPA密码,可能会需要大量的时间。幸运的是,几乎所有的系统都有一个常见的漏洞,那就是用户。 挑选最弱的一环攻击 用户几乎总是系统中最薄弱的环节,所以对他们的攻击往往是首选,因为他们成本低而又有效。尤其是对于那些网络安全经验比较匮乏的用户或者是非专业技术型的中小型企业来说,他们的电脑或者系统存在许多易受攻击和未修复的漏洞,比如默认的路由管理密码,很容易利用…
工具简介 WiFiPhisher是一款高度可定制的WiFi钓鱼攻击工具,它可以对具体的WiFI客户端进行攻击,例如获取用户凭证或感染恶意软件。与其他攻击不同的是,WiFiPhisher并不会进行爆破攻击,因为它主要使用的是社会工程学技术,而社工技术也是攻击者窃取用户凭证的一种简单且有效的方法。【官网链接】【工具下载】 注:WiFiPhisher需要在KaliLinux系统上运行,使用开源GPL许可证。 工作机制 利用EvilTwin(双面恶魔)攻击实现了中间人攻击之后,WiFiPhisher会将目标用户所有的HTT…
近期,欧洲多国大选开始,去年涉嫌网络攻击干预美国总统选举的APT28又开始活跃了。相继有德国、丹麦等国纷纷指责APT28的大肆入侵攻击行为。而就在最近的法国大选中,有安全专家分析称,APT28可能已经针对首轮投票胜出的纽埃尔·马克龙(Emmanuel Macron)开展了网络攻击活动。难道APT28又要用键盘来操控法国大选了吗? 在这里,让我们来看看安全公司Redsocks security如何通过网络流量来快速识别和破解APT28攻击行为。 分析简介 2016年底,Redsocks security发现了一个AP…
E安全5月4日讯 根据印度互联网与社会中心(简称CIS)的一项调查结果,此次经由4个印度政府门户站点泄露的Aadhaar公民身份信息总量或高达1.35亿条,除此之外,还有1亿银行帐户也不慎曝光。 什么是Aadhaar项目? 2010年9月,世界上最庞大最复杂的生物身份识别系统(UID,又称Aadhar计划),在印度马哈拉施特拉邦一个部族村落里宣告启动。该项目由印度身份证管理局执行,作为全球规模最大的生物识别ID系统,截至2017年2月28日,这个印度建立的Aadhaar项目已经采集超过11.23亿人的生物识别数据,…