2016年 第19周 微信公众号精选安全技术文章总览

    洞见网安 2016-5-9


    0x1 Windows Zero-Day漏洞(CVE-2016-0167):攻击支付卡数据

    安全张之家 2016-05-15T10:56:36

    Example Image


    2016年3月,一系列针对零售、餐饮和酒店业的攻击活动被发现,攻击者通过含有恶意宏的Microsoft Word文档传播PUNCHBUGGY下载器,该下载器能够通过HTTPS获取额外代码。攻击中使用了未知的提权漏洞(CVE-2016-0167)和一个名为PUNCHTRACK的POS内存抓取工具。FireEye确定了超过100个南美组织受到影响。该漏洞允许攻击者提升权限,执行系统级别的代码。微软在2016年4月12日发布了补丁修复此漏洞。攻击者利用了Windows Graphics子系统中释放后重用的漏洞来执行恶意代码,并且通过特定的技术来操纵堆布局以实现内存损坏。此次攻击展示了攻击者的高运营意识和成熟度。通过更新Windows和禁用Office宏,可以缓解此类攻击。

    漏洞分析 恶意软件 钓鱼攻击 本地提权 安全更新 网络安全事件


    0x2 巧用python和libnmapd,一行代码提取Nmap扫描结果

    安全张之家 2016-05-12T11:11:32

    Example Image


    每当我进行内网渗透面对大量主机和服务时,我总是习惯使用自动化的方式从 nmap 扫描结果中提取信息。这样有利


    0x3 接口测试之——soapui学习(2)

    安全进化论 2016-05-11T12:15:00

    Example Image


    本文详细介绍了使用SOAP UI进行接口测试的学习过程。文章首先解释了什么是Web Service,并介绍了如何自己编写一个简单的Web Service。接着,文章详细介绍了开发Web Service的环境准备,包括使用Axis2作为Web Service开发工具,以及如何将Axis2的WAR包放入Tomcat中运行。此外,文章还介绍了如何在Eclipse中安装Axis2插件,并使用Axis2 Service Archiver和CodeGen Wizard来生成服务代码。接着,文章展示了如何编写一个简单的Java类作为Web Service,并使用Axis2 Service Archiver发布该服务。最后,文章通过SOAP UI工具对发布的Web Service进行了测试,展示了如何调用和测试Web Service。整个学习过程旨在帮助读者更好地理解Web Service以及如何使用SOAP UI进行测试。

    Web服务安全 SOAP UI Java开发安全 Tomcat安全配置 软件开发生命周期安全


    0x4 接口测试之——soapui学习(3)

    安全进化论 2016-05-11T12:15:00

    Example Image


    本文详细介绍了如何使用SoapUI进行接口测试。文章首先解释了SoapUI的相关信息,包括其官方网站、不同版本和功能比较。接着,作者指导读者如何安装SoapUI,并创建一个新的测试项目,导入WSDL文件。文章深入讲解了如何为WSDL创建测试用例,包括添加请求和断言,以及如何执行和查看测试结果。此外,还提到了如何处理测试过程中可能遇到的问题,如服务暂停等,并给出了相应的解决方法。最后,文章提醒读者,本内容来源于互联网,如有侵权,请及时联系删除。

    Web服务安全 安全测试工具 安全测试方法 WSDL测试 性能测试


    0x5 接口测试之——soapui学习(4)

    安全进化论 2016-05-11T12:15:00

    Example Image


    本文详细介绍了SOAP UI在接口测试中的应用,包括如何使用SOAP UI提供的多种类型的assertion进行测试。文章首先介绍了assertion的管理,包括Contains、Not Contains、Response SLA、XPath Match、XQuery match和Script等常用assertion类型。接着,文章以SOAP UI自带的webservice实例为例,展示了如何导入项目、查看请求参数和执行测试。此外,文章还介绍了SOAP UI的MockService功能,通过模拟服务响应来方便地进行测试。文章最后提到,尽管MockService的具体作用可能需要进一步学习,但对于一般的Web服务测试,了解SOAP UI的基础功能就足够了。

    Web服务安全 接口安全测试 安全漏洞检测 安全测试工具 网络安全教育


    0x6 Android怎样添加AT命令

    安全进化论 2016-05-10T15:54:57

    Example Image


    本文详细介绍了在Android系统中添加AT命令的过程。首先,需要在Phone.java中添加发送AT命令的上层函数,并实现GSMPhone.java中的相应方法。接着,在CommandInterface接口中添加新的方法,并实现这个接口的两个类:RIL.javaSimulatedCommands.java。在RIL.java中实现上层与下层的通信,定义所需发送的AT命令标识并传递数据。此外,还需在ril.h中添加AT命令的标识宏,并在ril.cppril_commands.h中添加消息映射字符串和函数映射表。最后,在reference-ril/reference-ril.c中实现发送AT命令的核心函数。整个过程涉及到多个文件和接口的实现,以确保AT命令能够正确地从上层传递到GSM驱动层。

    移动安全 系统安全 代码安全 通信安全 嵌入式系统安全


    0x7 Android应用安全开发之浅谈加密算法的坑

    安全进化论 2016-05-10T15:54:57

    Example Image


    本文探讨了Android应用安全开发中加密算法的正确使用和潜在风险。文章首先介绍了密码学的基本概念,包括加密、认证和鉴权,以及明文、密文、密钥等基本概念。接着,详细介绍了Android SDK中提供的加密相关API,包括Java Cryptography Architecture (JCA)、Java Cryptography Extension (JCE)、Java Secure Sockets Extension (JSSE) 和 Java Authentication and Authentication Service (JAAS)。文章重点讨论了Base64编码算法、随机数生成器、Hash算法、消息认证算法、对称加密算法、非对称加密算法和基于口令的加密算法(PBKDF2)。对于每种算法,文章都给出了建议和最佳实践,例如推荐使用SHA-256算法、避免使用DES算法、不要使用ECB加密模式等。最后,文章总结了加密算法使用时应遵循的原则,如使用标准算法、确保密钥安全、避免硬编码等,并提到了密钥管理和加密算法实现的安全组件服务。

    Android安全 加密算法 密码学 安全开发 逆向工程 密钥管理 随机数生成 Base64编码 安全协议


    0x8 Android利用apktool多渠道自定义打包实现

    安全进化论 2016-05-10T15:54:57

    Example Image


    本文详细介绍了如何使用apktool进行Android应用的多渠道自定义打包。首先,介绍了下载和配置apktool的步骤,包括指定JDK版本和下载apktool的具体版本。接着,指导读者如何使用apktool将现有的APK包反编译到指定文件夹,并对渠道编号进行更改。之后,描述了如何将修改后的文件夹重新编译成APK,以及如何为新的APK进行签名,包括指定签名别名、密码以及签名算法等。最后,文章提到可以通过自动化脚本或程序来实现自动多渠道打包,提高了打包效率。

    移动应用安全 应用打包工具 代码混淆 签名验证 多渠道打包


    0x9 启明星辰ADLab检测工具持续更新 可检测此次ImageMagick涉及的5个漏洞

    ADLab 2016-05-10T15:51:12 启明星辰

    Example Image


    启明星辰ADLab针对图像处理软件ImageMagick存在的远程代码执行漏洞发布了安全通告,并迅速推出了第一版检测工具,用于检测上传文件是否包含可疑内容。随着研究的深入,该检测工具已升级,能够检测包括CVE-2016-3714/3715/3716/3717/3718在内的5个漏洞。检测工具可通过提供的下载链接获取,并计划持续更新。启明星辰ADLab还建议用户采取措施,包括使用检测工具检查系统受影响情况、更新安全策略、升级到最新版本,并在问题确认后启动应急响应机制。

    漏洞检测 图像处理软件安全 远程代码执行漏洞 CVE编号 应急响应 安全通告 软件升级 安全策略


    0xa 启明星辰ADLab:Badlock漏洞源码视角浅析

    ADLab 2016-05-10T15:51:12 启明星辰

    Example Image


    本文由启明星辰ADLab对Badlock漏洞进行了深入分析。Badlock漏洞最初被误认为是一个远程代码执行漏洞,但实际上是一个中间人劫持漏洞。文章详细介绍了漏洞的攻击场景,包括创建socket、绑定和监听,以及攻击者如何通过降低认证等级到Connect级别来实施中间人劫持。接着,文章分析了补丁的工作原理,指出补丁通过在pipe_rpc_fns结构体中添加allow_connect字段来防止这种劫持。最后,文章提供了受影响版本的修复建议,包括升级到特定版本以解决该漏洞。

    漏洞分析 中间人攻击 源码审计 补丁分析 安全更新


    0xb 接口测试之——SoapUI学习(1)

    安全进化论 2016-05-09T08:39:24

    Example Image


    本文深入探讨了Web Service及其相关技术,首先介绍了Web Service的概念、功能和优势,强调了其作为一种通用模型在支持网络通信的操作系统中实施运行的能力。文章详细解释了XML、SOAP、WSDL和UDDI等关键技术,这些技术是构建和使用Web Service的核心。接着,通过简化的类比,将Web Service比喻为API,放置于Web环境中,使得理解更加直观。随后,文章详细描述了如何调用Web Service,包括如何通过WSDL描述文件了解服务细节,如何构造SOAP消息,以及如何发送和接收响应。此外,文章还介绍了Web Service服务器的基本工作原理。最后,对XML进行了详细的解释,包括其与HTML的区别、应用场景以及XML在数据传输、存储和共享中的重要性。文章最后对WSDL进行了详细阐述,包括其结构、元素和如何使用WSDL描述Web服务。

    Web服务安全 XML安全 SOAP安全 WSDL安全 API安全 数据传输安全 跨平台安全


    0xc 使用Jmeter进行http接口测试

    安全进化论 2016-05-09T08:39:24

    Example Image


    本文详细介绍了使用Jmeter工具进行HTTP接口测试的方法。首先,文章概述了使用Jmeter进行接口测试的整体方案,包括分析测试需求、整理测试案例、评审、准备测试数据和自动化案例开发。接着,文章讨论了接口自动化测试的适用场景,如测试前置和开发自测,以及回归测试。此外,文章还提供了接口测试环境准备的具体步骤,包括JDK和Jmeter的下载安装,以及插件的安装。最后,文章详细描述了如何创建Jmeter测试工程,包括添加线程组、HTTP Cookie管理器、HTTP请求默认值、HTTP请求Sampler、设置检查点和添加监听器。文章最后强调了将测试案例组织在同一个测试计划中,以及如何进行流程性接口的测试。

    网络安全测试 性能测试工具 自动化测试 持续集成 HTTP协议安全 Jmeter插件 测试环境配置

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。