10秒自毁的手机，《碟中谍》般的防盗手机，你是否心动了呢？据英文版《科技纵览》杂志报道，沙特的阿卜杜拉国王科技大学(KAUST)研发了出了“终极防盗”手机，一旦手机落入窃贼之后就会在10秒内迅速升温膨胀爆炸。除此之外，也可以由机主远程给手机下达“自毁命令”。 实验中，研发人员模拟了手机被偷、手机被暴露在光下、手机被强行拆开时激活“自毁程序”的三种情况：如果手机被移动至原点的164英尺(50米)外，GPS感应器激活程序爆炸；意外暴露在普通台灯下的内置光敏感元件激活程序程序爆炸(这样如果是内置国家机密的设备从特定地方移…

IoT物联网究竟是怎样一种存在？又很多人仍在质疑其是否会成为未来的时候，MicKinsey的数据已经表明，到2025年，将真实世界和数字世界连接起来讲能够产生11.1万亿的经济价值——这个量级大致相当于全球经济的11%。IoT就是将真实世界和数字世界连接起来的媒介。 然而在过去一年的安全资讯中，我们都不难发现IoT安全已经成为信息安全的大难题，比如去年导致欧美半个互联网瘫痪，到现在也仍在持续活跃的Mirai僵尸网络，都是由IoT设备的安全问题造成的。 下面这张图是国外媒体CompariTech制作的相关IoT发展，…

思科Talos安全团队最近发现一款Powershell恶意程序，用DNS进行双向通信 前言 DNS是企业网络中最常用的Internet应用层协议。DNS提供域名解析，这样用户就可以通过域名而非IP地址来访问网络资源。许多企业会严格监控web流量，但对基于DNS的威胁的防护就比较少。攻击者也注意到了这点，经常将其他协议封装进DNS协议中来躲避安全监测。 攻击者利用DNS协议一般都是要获取信息。思科Talos团队最近分析了一个很有趣的恶意程序样本，利用DNS TXT记录查询和响应来创建双向的C2通道。攻击者可以通过DN…

近期，曾通过链接重定向方法劫持川普Twitter的比利时黑客@securinti，发现了从Facebook查找注册用户手机号码的方法，我们一起来看看。以下是@securinti发表的博客： 上个月，我发现，通过Facebook可以轻而易举地获取到一些比利时名人和政治家的手机号码。目前，尽管这种方法貌似只对像比利时这样只有1120万人左右的小国家有效，但这种简单而有效的方法，却会让很多人的用户隐私受到影响。当我把这个情况向Facebook的安全团队报告之后，却得到了一个失望的回复，他们竟然认为这根本不是一个安全问题。…

这是一个名叫ReBreakCaptcha的逻辑漏洞，而这个漏洞将允许你轻松地绕过网站所采用的GoogleReCaptcha v2验证码。 技术概览 早在2016年，我就开始研究如何才能绕过Google的ReCaptcha v2验证码系统，而且我也想知道对于一名攻击者来说，绕过这种验证码系统的难度到底有多少。如果有哪一种验证码绕过技术可以在任何环境下都能很好地工作，而不只是针对某些特殊情况的话，那就非常完美了。 因此，我认为有必要跟大家介绍这种名叫ReBreakCaptcha的攻击方法，我们可以用这种新型的绕过技术来…

PHP-malware-finder 是一款优秀的检测webshell和恶意软件混淆代码的工具，比如以下组件都可以被检测发现。 Best PHP Obfuscator Carbylamine Cipher Design Cyklodev Joes Web Tools Obfuscator P.A.S PHP Jiami Php Obfuscator Encode SpinObf Weevely3 atomiku cobra obfuscator phpencode tennc web-malware-collect…

E安全3月9日讯 美国联邦通信委员会（简称FCC）在隐私管理规则正式生效前即宣布暂停实施活动。目前已经授权美国ISP全部权力，默许其在未经批准之情况下出售用户数据。 隐私保护目前只能是隐私捍卫者们的—————乌托邦式幻想，或许很多人每天都能感受到来自执法部门、情报机构与威权政府的威胁。 2016年10月，美国联邦通信委员会（简称FCC）通过了一系列关于ISP（即互联网服务供应商）的隐私管理规则，限制其将用户数据用于营销或者其它商业用途，并禁止各ISP在未经用户明确许可的情况下将用户数据同第三方进行共享。同时，要求各…

而颇具讽刺意味的是，此类飞机之上所安装的现代计算机正是引导致其陷入黑客入侵这一现代化威胁困境的核心原因。 E-3预警机的雷达与通信系统强大 E-3预警机E-3 Sentry (AWACS)是美国波音公司根据美国空军“空中警戒和控制系统”(英文缩写AWACS——Airborne Warning and Control System)计划研制的全天候远程空中预警和控制机，具有下视能力及在各种地形上空监视有人驾驶飞机和无人驾驶飞机的能力，别名E-3“望楼”。凭借着其强大的雷达与通信系统，E-3能够对敌对方的大片空中及海上…

在“维基揭秘”网站发布近9000份有关美国中央情报局黑客工具的文件后，美国联邦政府8日启动对这一泄密事件的刑事调查。美国有线电视新闻网援引多名匿名美国官员的话报道说，美国联邦调查局与中情局将合作展开调查，主要调查文件是由中情局雇员还是外部承包商外泄给“维基揭秘”，以及“维基揭秘”是否还有其他未发布的文件。此外，还有美国媒体报道说，两个机构还将评估此次事件造成的损害。 美国白宫发言人斯派塞当天在例行记者会上拒绝证实这些文件的真实性，但强调机密文件外泄事件应该成为“一大担忧”。 斯派塞说，这类泄密事件损害美国的安全，“…

3月7日维基解密对外披露，美国中央情报局为监听不择手段，甚至使用内部研发的黑客工具拦截个人用户信息，窃听私人谈话等，此事引起民众对于个人隐私被窥探的恐慌。而美国联邦调查局（FBI）局长詹姆斯·科米的一番话似乎使情况更糟了。他说：“在美国没有绝对的隐私。” 资料图 在维基解密曝光美国中央情报局窃听黑料后，科米在3月8日举行的网络安全会议上发言，他表示：“我们所有人理当在我们的家中、车里以及我们的设备中保留隐私。但是如果有充分的理由，在法庭上，政府可以通过执法而入侵我们的隐私空间。甚至连我们的记忆都不是私人的。我们任何…

昨天维基解密发布了 8761 份秘密文件，其中详细介绍了美国中情局用于攻击 iPhone、iPad、Android 智能手机和平板电脑、Windows PC 以及路由器和智能电视的方法和手段。中情局还设有下属的设备渗透部门，包括专门针对苹果的移动开发分部（Mobile Development Branch）。这些曝光的文件可能让很多人“谈中情局色变”，不过外媒 Appleinsider 表示在对这些文件曝光的数据进行深入解读之后发现，如今现代监控技术的现实让中情局很难堪，还有就是越来越成熟的调查目标基础方法。 任何…

2015年7月，意大利间谍软件制造商Hacking Team创建的漏洞利用库组件遭泄露，黑客们陆续捡漏乐开了花。 Hacking Team是一家专注于开发网络监听软件的公司，他们开发的软件可以监听几乎所有的桌面计算机和智能手机，包括Windows、Linux、Mac OS、iOS 、Android、Blackberry、Symbian等等，Hacking Team不仅提供监听程序，还提供能够协助偷偷安装监听程序的未公开漏洞（0day），真是全套服务。 目前政府能够通过反病毒产品检测到这些泄露的代码构建的工具，这要归…

前言 你可能已经注意到，上一个补丁星期二并没有到来。结果导致大量0day漏洞的文章正在发表，而CVE-2017-0038无疑名列头榜。别着急，每个云里都有一个隐藏的线索。我上周正好有一些空闲时间来解决这个问题，所以，我可以给你0day漏洞的第一个0patch。 针对CVE-2017-0038的分析 CVE-2017-0038是EMF图像格式解析逻辑中的漏洞，它无法充分检查图像中指定的图像尺寸与文件提供的像素数量之间的关系。如果图像尺寸足够大，则解析器被欺骗去读取超过被解析存储器映射的EMF文件内容。攻击者可以使用此…

一、前言 最近，我们发现Google Play应用商店上有132款安卓应用感染了隐藏的小型恶意IFrame，这些IFrame会在应用的本地HTML页面中嵌入到恶意域名的链接，这些被感染的应用最多有超过10,000频次的安装记录。我们的调查表明，此次感染并不能归咎于应用开发人员，他们其实也是受害者，我们认为最有可能的原因应该是应用开发者的开发平台感染了恶意软件，恶意软件会搜寻应用内的HTML页面，在找到的页面末尾插入恶意内容。如果事实的确如此，那么还需要了解这些应用是如何在不引起开发者警觉的前提下经由已感染的开发者平…

Android上对App进行混淆是常见的事情，目的就在于一定程序上保护app的逻辑不被逆向，同时还可以减少app的体积。 在开发中常用的混淆工具首先就要提ProGuard了，这是一款免费工具，默认已被Android IDE集成，开发者只需要适当的进行配置混淆规则就可以使用proguard来混淆app，但既然是免费软件，局限性自然也比较大，首先就是不支持字符串混淆，如果要使用字符串混淆，就需要使用它的商业版本DexGuard。 既然没有免费的字符串混淆工具，那就自己先实现一个，分析了JEB(Android反编译工具)…

Shamoon，2012年就出现的一个神秘的磁盘擦除器。去年11月， Shamoon恶意软件突然出现，并攻击了沙特的石油机构 ，这次攻击中使用了更新后的Shamoon 2.0，它增加了新的工具和技术，包括减少对外部命令和控制服务器，一个具有完全功能的勒索软件模块和新的32位及64位组件。有消息称在随后的几个月中，该恶意软件又更新了三次。 回顾一下Shamoon 2.0的功能特性 像2012年的Shamoon一样，新版本悄然融入到目标网络中，攻击者可以获得管理员权限。 Shamoon 2.0允许攻击者构建一个使用权限…

两会正在开， 人大会议：2017年3月5日(星期日)，政协会议：2017年3月3日(星期五) ，预计在3月16日全部完成。其中网络安全仍旧是议题之一。之前安全加报道过 【下载】你的业务已经触犯网络安全法了！！！ 赶快来看看业务和法务人士怎么说 ，里面有从各个行业解读网络安全法， 实在是干货。这里将主题文章单发一次，并在文末提供全文下载。 行业专家解读网络安全法 《不越底线 不踩红线 不碰高压线》 2016年11月7日我国第一部网络安全法颁布。笔者作为安全行业的从业人员，认真阅读了相关条文。总体感觉： 安全法不但对各…

消费者报告（Consumer Reports）是一家在美国拥有极高公信力的非营利机构，主要对汽车、厨房电器等产品进行全方位的审查。本周一，该机构已经同数家外部机构进行合作，开发相应的标准来衡量产品是否容易被黑客入侵，以及衡量产品如何保护用户数据，将网络安全和隐私保护纳入到现有的产品打分体系中。 消费者报告将会逐步实施新的方法，从少量产品评估中开始测试。该机构的电子测试负责人 Maria Rerecich 在电话采访中表示：“这是一个非常复杂的领域，要达到这个目标需要对类目进行很多的细分。” Craigslist 的…

维基解密近日公布了一份报告，详细说明了美国政府如何攻击我们许多人每天使用的设备，努力获得自己需要的情报。根据这份报告，CIA 可以攻击 iPhone、iPad、Android 设备、PC、路由器甚至智能电视，如果即使这份报告只有一小部分被证明是准确的，也会有一些严重的隐私和安全隐患。 这份报告证实了大多数人对美国政府绕过电脑软件和移动设备内置安全功能进行攻击的假设。例如，CIA 对运行 Windows、Mac OS、Linux 的电脑有许多“零日”漏洞可以利用。 CIA 已经开发了自动化的多平台恶意软件攻击和控制系…

ThreatMetrix 的研究人员表示，在线金融服务和贷款公司是网络欺诈活动在 2016 年中最主要的目标，其受网络攻击的数量同比增加了 122％ ，潜在损失超过 80 亿英镑。 事实上英国在线金融服务交易数量在 2016 年增长了 10％，而同时期的网络攻击和欺诈事件却增加了 150％ 。ThreatMetrix 称在去年检测到 8000 万次此类攻击，绝大多数的网络攻击利用了假冒或被盗凭据从事欺诈活动。 ThreatMetrix 网络犯罪报告显示，新兴国家成为网络犯罪的重灾区，大多数欺诈活动起源于发展中国家，…

日前，新加坡国立大学和新加坡国家研究基金会发布联合声明称，新加坡政府投资 840 万新元（约合 593 万美元）的网络安全实验室在新加坡国立大学成立，将为学术及产业相关人士的网络安全研究和测试提供支持。 该实验室目前正在支撑 20 个来自科研机构和业界人士的项目，聚焦于软件安全性、云数据存储和城市交通系统问题。该实验室能够模拟 1000 余台计算机同时执行多项制造网络安全事件的任务，例如大规模的恶意网络攻击。它还拥有大型的恶意软件数据库，可以用于研究和教育等用途。这些能力到年底预计将进一步扩大三倍。 这一新的实验室…

WordPress 已经发布 WordPress 4.7.3 版本修复了六个安全问题，其中包括三个跨站点脚本（ XSS ）漏洞，但 2016 年 7 月发现的 CSRF 漏洞仍未修复。 WordPress 4.7.3 发行版修复的漏洞列表： 1、通过媒体文件元数据（ media file metadata ）的 XSS 跨站脚本攻击。 2、控制字符可以欺骗重定向网址校验。 3、管理员使用插件删除功能可能会删除非目标文件。 4、YouTube embeds 视频网址引起 XSS 跨站脚本攻击。 5、分类术语名称（引起…

据外媒报道，近日，微软和谷歌两家公司都宣布了提高漏洞悬赏奖金的消息。如果替谷歌找到了一个远程代码执行漏洞的话，那么可以得到31337美元的奖金（原先只有20000美元）；如果找到了“无限制文件系统或数据库访问”漏洞的话，那么可以得到13337美元的奖金（原先只有10000美元）。 虽然谷歌的奖金提升幅度没有微软那么大，但它却是永久性的。 至于微软，其奖金提高活动将在5月1日截止，据悉，这家公司宣布将Office 365相关的大型漏洞奖金提高一倍。也就是说，原先15000美元的奖金现在有30000美元。参与者可将漏洞…

海外网3月8日电 据英国BBC网站消息，维基解密（WikiLeaks）网站周一披露大批据称来自美国中央情报局（CIA）网络情报中心的文件和档案。网站始创人阿桑奇声称，这是有史以来公诸于世的最全面美国间谍搜集机密档案，数量多过“叛逃特工”爱德华·斯诺登（Edward Snowden）披露，以至于CIA成全球最大黑客。 这批代号“Vault 7”（第7号保险库）的档案，第一部分资料称为“元年”（Year Zero），其中包含8761份档案，揭露了CIA在全球秘密进行的入侵计划，手段包括恶意软件、病毒、木马程式、零日漏洞…

0×01 WAF简介 WAF 全称是Web Application Firewall,  简单讲就是web防火墙， 是对web业务进行防护的一种安全防护手段。其实，现在很多的移动app，也是使用的http协议进行数据交换，也可以理解成web业务，可以对app server进行防护。 主要的web危害，一般指的是OWASP Top 10，比如SQL注入、XSS、CSRF等常见的web危害方法。当然可能不止这些方法，比如社工。轻则用你的服务器打个ddos，重则数据全部被盗，损失公司的信誉和money。 互联网公司的业务…