2015年 第43周 微信公众号精选安全技术文章总览
洞见网安 2015-10-26
0x1 篡改install-recovery.sh脚本的流氓插件程序
安天移动安全 2015-10-30T18:04:51
近期,AVL移动安全团队截获一款会篡改手机启动脚本的流氓插件。
0x2 [新闻]能源安全之中国石化某站命令执行导致内网漫游
河南信安世纪 2015-10-30T17:28:25
漏洞详情披露状态:2015-10-30: 细节已通知厂商并且等待厂商处理中简要描述:能源安全之中国石化某站命
0x3 iOS核心应用设计漏洞 暴露用户Apple ID凭证
江南信安 2015-10-29T17:57:57
Check Point提醒苹果iOS的核心应用程序可能会暴露用户的凭据。所幸的是iOS 9包含有相关的补丁。
0x4 Cisco VPN惊现后门 专门窃取客户网络密码
江南信安 2015-10-29T17:57:57
一种新的攻击悄无声息地出现在公司门户上。安全研究人员说,攻击者通过感染思科公司所出售的一个虚拟专用网络产品来
0x5 我的Android手机安全性测试手段
安全进化论 2015-10-29T12:12:58
本文详细介绍了作者在Android手机安全性测试中所使用的多种攻击手段。这些手段包括使用Fiddler和Wireshark进行抓包分析,修改AndroidManifest.xml文件中的属性以查看logcat输出,反编译APK文件以检查代码逻辑和敏感信息,以及修改smali文件和JNI调用。此外,文章还提到了通过Root手机访问data/data目录下的缓存文件和数据库,以及使用Reflector反编译.NET DLL文件。最后,文章强调了对于开放平台相关的应用,可以通过获取开放平台接入参数来执行攻击操作。这些测试手段旨在帮助安全学习者了解Android应用的潜在安全风险。
移动安全 应用程序安全 漏洞检测 逆向工程 安全测试 日志分析 平台安全 代码混淆分析
0x6 网曝百度多款App存在WormHole漏洞 安卓手机可被远程控制
江南信安 2015-10-28T23:28:01
近日,乌云漏洞平台曝百度旗下多款App存在WormHole漏洞,安卓手机只要连接了网络,无论root与否都有
0x7 web接口测试之GET与POST请求
安全进化论 2015-10-28T12:10:56
本文主要介绍了Web接口测试中的GET和POST请求方法。文章首先概述了HTTP协议的基本概念,包括请求(request)和响应(response)的过程。接着,通过具体实例,以Flask框架为例,详细展示了如何开发一个能够接收GET和POST请求的Web应用。文章中包含了GET请求和POST请求的代码示例,以及如何使用Python的requests库来模拟测试POST请求。此外,还简要提到了安全测试中的SQL注入问题,并强调了通过输入参数进行测试的重要性。
网络协议 Web安全 SQL注入 安全测试 Python开发
0x8 开源自动化移动应用安全测试框架Mobile Security Framework
安全进化论 2015-10-28T12:10:56
Mobile Security Framework (MobSF) 是一款开源的移动应用安全测试框架,旨在为Android和iOS应用提供高效的自动化渗透测试。该框架支持静态和动态分析,能够对二进制文件(APK & IPA)和源码进行安全审计。静态分析器能自动检测不安全的权限请求、代码缺陷和敏感信息泄露等问题,而动态分析器则可以在虚拟机或设备上运行应用,实时检测问题。MobSF具有可扩展性,允许用户自定义规则,并提供详细的测试报告。此外,该框架还支持Tizen和Windows Phone等平台,并提供了详细的GitHub文档和Bug提交指南,方便用户使用和贡献。
移动应用安全 开源软件 自动化测试 渗透测试 静态分析 动态分析 二进制分析 代码审计 安全报告
0x9 移动APP安全测试要点
安全进化论 2015-10-27T12:11:37
随着运营商新技术和新业务的发展,移动APP面临的安全挑战日益增多,包括内容安全、计费安全、客户信息安全、业务逻辑及APP安全等。运营商自主开发的移动APP可能未通过应用市场审核,安全性面临挑战。为此,运营商已开发自动化检测工具并定期进行APP安全测试评估。文章以一次Android APP安全测试实例,从七个方向进行移动终端APP安全评估,并提出运营商自动化APP测评思路。评估中发现的漏洞包括Allowbackup漏洞、WebView漏洞、关键数据明文传输、任意账号注册、登录界面可被钓鱼劫持等,并给出了相应的整改建议。文章还讨论了在实施整改过程中,运营商、APP厂商及安全厂商之间就关键数据明文传输和登录界面钓鱼劫持等问题的争议,并进行了详细的分析和解释。最后,文章强调了移动APP安全测试在运营商的重要地位,并呼吁安全从业者积极参与相关讨论。
移动应用安全 网络安全评估 渗透测试 Android安全 数据安全 漏洞分析 运营商安全
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
