2015年 第45周 微信公众号精选安全技术文章总览

    洞见网安 2015-11-9


    0x1 来自中国的秘密 | 预装木马的安卓平板正在销往全世界。

    河南信安世纪 2015-11-12T22:58:27 Charles

    Example Image


    近日,猎豹移动安全实验室发现了一个危险系数较高的木马,该木马被称为Cloudsota。研究发现:该木
    

    0x2 安全播报:Redis 未授权访问漏洞,中国用户占据榜首!

    河南信安世纪 2015-11-12T22:58:27 Charles

    Example Image


    近日爆出某不知名团体利用Redis设计缺陷,针对国内互联网进行了全网性入侵事件,并导致上万家暴露.


    0x3 Jenkins进阶系列之——03parameterized-trigger插件

    安全进化论 2015-11-12T12:19:39

    Example Image


    本文介绍了Jenkins的Parameterized Trigger插件,这是一个功能强大的插件,能够根据已完成的构建结果触发新的Job或者传递参数。文章详细描述了该插件的安装步骤,包括在Jenkins中管理插件,选择Build Triggers,然后安装Parameterized Trigger Plugin。接着,文章指导读者如何在项目(job)配置页面中配置插件,包括添加后构建操作、触发参数化构建等。文章还提供了详细的配置界面截图,包括添加触发器、指定构建触发的条件、添加参数(布尔参数、当前构建参数、从属性文件获取参数、预定义参数等),以及如何限制矩阵执行的子集。最后,文章提醒读者,如果不知道如何编写属性文件,可以咨询Java开发人员。

    Jenkins 安全配置 自动化构建安全 插件安全 构建触发器安全 CI/CD 安全


    0x4 【Android测试】【第八节】MonkeyRunner—— 初识

    安全进化论 2015-11-12T12:19:39

    Example Image


    本文介绍了Android平台下的测试工具MonkeyRunner。MonkeyRunner是谷歌开发的一款用于自动化测试的工具,它通过编写Python代码来控制Android设备。文章首先介绍了MonkeyRunner的基本概念和用途,包括安装应用、发送键盘和触摸事件、截屏等。接着,详细说明了MonkeyRunner的特点,如多设备控制、功能测试、回归测试和可扩展的自动化能力。文章还通过一个实例展示了如何使用MonkeyRunner启动应用、模拟操作和截屏。最后,概述了MonkeyRunner提供的一些常用API,如设备连接、运行shell命令、发送触摸事件等,以及如何将这些API应用于实际的测试脚本中。

    移动安全 自动化测试 安全测试工具 Python开发 Android应用测试


    0x5 Android兼容性测试GTS-环境搭建、测试执行、结果分析

    安全进化论 2015-11-10T12:44:42

    Example Image


    本文详细介绍了Android兼容性测试工具GTS(Google Mobile Services Test Suite)的安装、测试执行和结果分析过程。GTS是谷歌移动服务的一部分,用于测试Android设备的兼容性。文章首先解释了GMS(Google Mobile Services)的概念和Android手机厂商的三个级别授权。接着,详细描述了GTS测试环境的搭建步骤,包括刷机、连接VPN、设置设备选项等。随后,介绍了如何在PC端运行GTS测试,包括下载测试包、连接手机、执行测试脚本等。最后,文章说明了如何查看和分析测试结果,包括生成结果文件夹、查看详细测试结果等。整个测试过程可能需要1到2个小时,具体时间取决于网络速度。

    Android安全 移动安全 测试工具 VPN安全 应用安全 系统安全


    0x6 Windows蓝屏死机骗局:新的恶意钓鱼方式

    江南信安 2015-11-09T20:37:58

    Example Image


    新的恶意骗局:恶意软件的制作者们,劫持了Windows系统中的最让人崩溃的蓝屏死机,制造了钓鱼骗局。搜索引擎


    0x7 Android本地数据存储:Shared Preferences安全风险浅析

    安全进化论 2015-11-09T12:15:56

    Example Image


    本文详细分析了Android系统中Shared Preferences存储方式的安全风险。Shared Preferences是一种基于XML文件存储的键值对数据存储方式,常用于储存应用配置等信息。主要安全风险包括:1) 开发者未正确选择文件创建模式(如MODE_PRIVATE、MODE_WORLD_READABLE、MODE_WORLD_WRITEABLE)进行权限控制;2) 开发者过度依赖系统安全机制,将用户信息、密码等敏感信息明文存储,导致攻击者可通过root手机查看。文章列举了多个实际漏洞案例,如网易阅读、高朋团购网等用户敏感信息泄露事件。影响范围涵盖所有Android系统。风险详情涉及风险位置、触发前提、原理等,并提供了使用不同模式创建Shared Preferences的POC代码及结果截图。修复建议包括:避免使用全局可读/写模式、避免明文存储敏感数据、避免滥用“android:sharedUserId”属性等,以保障用户信息安全。

    Android安全 Shared Preferences 本地存储安全 权限控制 敏感信息泄露 Root权限 SharedUserId 安全编码实践 安全风险分析 POC(Proof of Concept)


    0x8 Jenkins进阶系列之——01使用email-ext替换Jenkins的默认邮件通知

    安全进化论 2015-11-09T12:15:56

    Example Image


    Jenkins Email Extension Plugin 是一个用于增强 Jenkins 邮件通知功能的插件,它解决了 Jenkins 默认邮件通知的局限性,提供了更灵活的自定义选项。该插件允许用户在全局和项目级别进行配置,包括邮件主题、内容、接收者、触发条件等。全局配置允许设置默认邮件主题和内容、邮件类型、默认接收者等,而项目配置则可以针对特定项目进行更细致的设置,如指定收件人、自定义主题和内容、附件设置等。此外,插件还支持高级配置,允许用户为不同的构建触发条件(如失败、成功、不稳定等)设置不同的邮件接收者和内容。文章还介绍了 Jelly 脚本的使用,允许用户通过自定义脚本生成更复杂的邮件内容,包括 HTML 和 TEXT 格式。总体而言,Email Extension Plugin 为 Jenkins 用户提供了强大的邮件通知功能,使得邮件通知更加灵活和可定制。

    Jenkins 插件 邮件通知 Jenkins Email Extension Plugin 配置管理 自动化 DevOps 脚本

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。