|
[推荐]一石多鸟——击溃全线移动平台浏览器(看雪2017安全开发者峰会演讲回顾12)
看雪编辑按:作为通向互联网世界的一扇窗,浏览器早已融入了我们的日常生活。然而近年来针对浏览器的攻击却不断增长,方式也更加多元化,一旦这方面的利用技术被意图不轨者掌握,那么后果会非常严重。另一方面,企业的业务很大程度上也依托于互联网来完成。因此,如何防止浏览器被攻击者利用成了安全人员不可回避的问题,同时也是不可推卸的责任。本次看雪安全开发者峰会,陈佳林从 Pegasus 间谍软件披露的漏洞开始谈起,由一个具体的 WebKit 中 JavaScript 内核漏洞出发,详细阐述了漏洞的成因、内核堆风水、垃圾回收及 JIT 编译机制,并通过综合利用地址泄漏、对象伪造、指针劫持、堆喷和 ROP 等技巧最终实现了任意代码执行,为我们展示了一套完整的浏览器漏洞利用过程。 以上内容为陈佳林演讲实录,由看雪学院(微信公众号:ikanxue)整理。 |
||||||||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||||||||
|
[资讯](11.30)macOS High Sierra 系统现高危登录 Bug
Android Cryptocurrency Wallet--发现重大安全问题根据瑞士网络安全公司High-Tech Bridge今天发布的报告,Google Play商店中提供的绝大多数用于加密货币管理的Android移动应用程序都容易受到最常见和最知名的漏洞的攻击。该报告是通过Mobile X-Ray(一种本月推出的免费的基于Web的移动应用程序扫描器)扫描最流行的货币加密管理应用程序分析得出的。 Mobile X-Ray进行动态和静态测试,以及简单地对隐私和恶意功能的行为测试。 所有扫描的应用程序中,超过90%都是易受攻击的High-Tech Bridge的研究人员使用Mobile X-Ray扫描了90个流行的Android应用程序的常见漏洞,发现超过90%的应用程序“可能都有问题”。 这些缺陷中的一部分可能被Android银行木马中包含的开发链的自动化部分所利用,随着比特币和其他各种加密货币达到历史最高的交易价格,这些应用程序的缺陷更容易使用户遭受盗窃和其他金融诈骗行为。 应用程序包含众所周知的漏洞,包括硬编码的API密钥和密码,没有使用加密,并且容易受到中间人攻击。 问题在于应用开发者因为近10年来安全专家们已经反复在讲这些错误,所以安全公司在今年仍然发现的这些漏洞类型是不可思议的。 尽管如此,这并不是个例,几乎已经在所有类别的移动应用程序中发现这些类型的缺陷,不仅限于加密货币应用程序,比如银行、医疗保健、约会和股票交易。 总而言之,报告再次表明,在Android应用程序开发的环节中,安全开发从来没有成为优先考虑的事项。 High-Tech Bridge 的 CEO 兼创始人之一Ilia Kolochenko表示,他对这项研究的结果并不感到惊讶。 多年以来,网络安全公司和独立专家都在告知移动应用程序开发者快速开发的风险,但这通常意味着没有确保安全设计、安全编码和应用程序安全测试的框架。 下表列出了研究结果:
本文由看雪翻译小组 fyb波 编译 |
||||||||||||||||||||||||||||||||||||||||||||||||
|
[推荐]那些年,你怎么写总会出现的漏洞(看雪2017安全开发者峰会演讲回顾0x8)
看雪编辑按:随着项目的业务模块越来越多,代码越来越零碎,协同开发的重要性不言而喻。越来越多的项目由多个程序员或者多个部门的技术人员进行协作开发。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,从而使得应用程序存在安全隐患。作为一名合格的开发人员,不仅仅需要完成项目需求的业务功能,更要考虑到安全性。多数情况下,安全人员在对目标网站和系统进行挖掘漏洞的时候,都是黑盒测试,看不到具体的代码逻辑。本次议题站在不同水平程序员的角度从代码层面来分析为什么写出的代码会有漏洞,以及如何去防御此类安全问题。 以下内容为邓永凯演讲实录,由看雪学院(微信公众号:ikanxue)整理。 |
||||||||||||||||||||||||||||||||||||||||||||||||
|
[原创]智能化的安全: 设备&应用&ICS(看雪2017安全开发者峰会演讲回顾0x6)
看雪编辑按:IoT 现在为什么能这么火?究其原因还是与它所处的发展阶段有关,这同最初移动端刚兴起时如出一辙,即相关的防护措施没跟上,机会自然也就多了。很大一部分为智能设备做开发的程序员往往只关注如何实现功能,而忽略了其中的安全问题,对安全研究者来说会发现世界原来如此简单。此外,工控安全问题也日渐凸显了出来,一旦这些基础设施出了事情,那么所带来的后果往往是灾难性的,例如之前的乌克兰电网被黑事件。本次议题由启明星辰 ADLab 西南团队负责人王东为我们带来有关智能化安全的探讨,相信会让各位对所处的这个万物智能世界中存在的安全问题有更深刻的认识。以上内容为王东演讲实录,由看雪学院(微信公众号:ikanxue)整理。 |
||||||||||||||||||||||||||||||||||||||||||||||||
|
[资讯](11.25)英国政府已下令电信公司,停止使用“最快网速”
Uber 透露 2016 年时曾泄露过 5700 万的帐户信息Uber 于周二透露,该公司 2016 年时曾遭遇过 5700 万的用户信息泄露事件。据报道,事情发生后 Uber 向攻击者支付了 10 万美元用于掩盖这次黑客攻击,并要求攻击者删除所有泄露的数据。 Uber CEO Dara Khosrowshahi 在一份声明中表示,这起泄露事件发生在 16 年 10 月,包括 5700 万名 Uber 乘客的姓名、email 地址和手机号信息被黑客盗取,连同这些信息一起泄露的还包括大约 60 万名司机的姓名和驾驶证号。 Khosrowshahi 补充说:“我最近了解到,在 16 年底,有两名外部人员非法访问了我们存储在第三方云服务器中的用户数据。” Uber 表示,这起事件发生在 Khosrowshahi 出任 CEO 之前。Uber 的联合创始人兼前 CEO Travis Kalanick 在攻击发生一个月后,也就是 16 年 11 月获知了此事,他同公司 CSO Joe Sullivan 及一名副手当时就报告了泄露事件但之后没能做到妥善披露。 “事件发生后,我们第一时间采取措施确保数据的安全,并切断了攻击者进一步对用户数据的未授权访问。我们随后确认了这些攻击者,他们保证下载的数据已经被删除。” Khosrowshahi 解释说。 另据报道,这两名攻击者是借助在 GitHub 上找到的 Uber 工程师凭证来对存储在 Amazon Web Services 帐户上的 Uber 信息进行访问的。在得到数据后,攻击者通过 email 向 Uber 发送了勒索邮件。 安全专家表示,Uber 接下来可能不得不面对来自监管机构以及客户的不满。 “毫无疑问,Uber 由于没有及时披露此事件,通常是在一定数量用户受到影响的情况下,而违反了法律中的许多规定。” 来自 Varonis 的 VP Ken Spinner 说道。 本文由看雪翻译小组 BDomne 编译 |
||||||||||||||||||||||||||||||||||||||||||||||||
|
[原创]浅析WEB安全编程(看雪2017安全开发者峰会演讲回顾0x3)
看雪编辑按:曾问过一位搞 WEB 安全的人为什么 PHP 是世界上最好的语言,他的回答是 PHP 网站漏洞多,有饭吃。结合目前黑灰产中借助 WEB 漏洞进行各种薅羊毛的现状,这不禁触发了我们的深切反思。问题究竟出在什么地方,为什么网站会存在 SQL 注入、XSS 跨站、CSRF 这些漏洞,我们应该如何避免在代码中产生这些错误?本次议题是由中国婚博会的 PHP 高级工程师汤青松为我们带来的“浅析 WEB 安全编程”,作为开发人员你会发现其中有许多点是值得我们学习借鉴的,安全问题必须引起每一位开发者的重视。 |
||||||||||||||||||||||||||||||||||||||||||||||||
|
[翻译]Lua 5.2 字节码和虚拟机
感谢分享 |
||||||||||||||||||||||||||||||||||||||||||||||||
|
|