记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

蚂蚁金服(支付宝)急聘移动安全工程师

蚂蚁金融服务集团的主要业务范畴涉及第三方支付、移动支付、O2O、小额贷款、网络银行、在线融资、在线理财、保险等领域,现急聘移动安全工程师。移动端安全测试开发工程师 岗位职责:1、负责支付宝移动端项目安全测试和漏洞挖掘;2、负责支付宝移动端安全框架或系统的开发;3、负责支付宝移动端安全事件处理,提供解决方案;基本要求如下:1、熟悉安全攻防技术,熟悉web或者APP至少任一漏洞挖掘(白盒&黑盒),对漏洞的原理和产生机制有较深入的了解。2、熟悉java开发(Android客户端或服务端springMVC框架),有实际开发经验。任意加分项:1、熟悉业务安全,有SDL经验。2、熟悉移动端的逆向分析。3、有开发自动化漏洞检测框架经验。4、熟悉IOS安全或者开发。5、有各平台漏洞报告高
发布时间:2016-07-26 14:50 | 阅读:127994 | 评论:0 | 标签:招聘 支付宝 蚂蚁金服 移动

旧手机带来的风险,99%的人都不知道的几招

互联网技术日新月异,手机产品也不停更新迭代,相信很多小伙伴都和小编一样,肾3,肾4,肾5,肾6,马上又要肾7了,更新换代的旧手机怎么办?绝大部分的同学删掉了照片、支付软件、银行app等,就认为万事大吉了。Too simple,some times naïve !纳尼,删掉还不够吗,不然要怎样?不要着急,小编整理了几个处理旧手机前必须要做的动作,咱们一步步来:第一点:删掉手机中的所有隐私信息,退出支付宝账户的登录,删除支付宝App和其他所有APP,并清空手机上所有信息含照片、通讯录、短信、备忘录、注销手机云账号等,是不是觉得很烦? 好吧,其实就一句话! 将手机恢复出厂设置和拔除手机SIM卡!第二点:不要告诉别人密码!不要告诉别人密码!不要告诉别人密码!重要的信息说三遍,也不要提供任何可能猜到密码的信息。万一手机被
发布时间:2016-03-21 19:40 | 阅读:65209 | 评论:0 | 标签:牛闻牛评 废旧手机 支付宝 隐私信息

支付宝招聘安全研发工程师

支付宝,中国最多人选用的第三方网上支付平台。支付宝(www.alipay.com)成立于2004年,是中国最多人选用的第三方网上支付平台。支付宝致力为上亿计的个人及企业用户提供安全可靠、方便快捷的网上支付和收款服务。安全研发工程师岗位描述1)负责安全产品相关系统的模块设计和编码实现; 2)负责安全产品相关系统的架构设计,承担核心模块的代码编写3)保障系统的稳定性和项目质量,规划平台技术架构方向;岗位要求1)本科或以上学历,计算机软件或相关专业。 2)三年以上J2EE项目实际开发经验;熟悉J2EE设计模式,精通Java及Web应用的开发。 3)深入了解spring,ibatis,cache,mq,rpc,jvm等领域的框架或产品的机制与代码。 4)熟悉
发布时间:2016-03-17 01:15 | 阅读:84732 | 评论:0 | 标签:招聘 支付宝

别抢红包了!小心倾家荡产!

Post by Godyu随着网络购物的发展,各类购物软件应运而生。不少网友开始热衷于抢购物代金券、打车红包、折扣券等。近期AVL移动安全团队截获一款名为《天天红包》的恶意软件,存在泄露个人QQ账号、支付宝账号等恶意行为,说不定领个红包,账号里的钱一下就给掏空了!想想都可怕。经过分析,安全人员发现该恶意软件有如下行为特征:激活设备管理器,隐藏图标,通过邮件和短信上传用户短信、联系人以及用户设备相关信息。向用户联系人发送包含用户联系人称呼和恶意URL的短信,推送同类恶意应用。拦截用户短信,执行主控号码发来的指令。劫持支付宝和手机QQ的登录界面,将用户账号和密码上传到指定邮箱。阻止用户取消激活设备管理器,以防止被卸载。一 恶意代码详细分析1 恶意应用相关信息该应用是一款名为“天天红包”的APP,程序包名:com.t
发布时间:2016-02-25 19:20 | 阅读:256823 | 评论:0 | 标签:病毒播报 劫持 恶意短信 支付宝 红包

支付宝回应异地登录:外部泄漏

【TechWeb报道】10月1日消息,近日有用户反映,支付宝移动客户端中不断出现异地登录的提醒,更改密码或锁定设备仍无法阻止其登录,引起不少用户恐慌。 对此,支付宝在官方微博回应称,遇到此问题的用户,应该是外部网站或邮箱遭泄漏后,密码与支付宝登录密码相同造成的。而对于有些用户更改密码或锁定设备仍无法阻止异地登录提醒的问题,支付宝表示原因很可能是修改后的密码仍是一个常用密码所致。 此前,网上有传言称该问题是黑客使用模拟器“黑”支付宝账户,但未获官方证实。专家建议支付宝用户检查登录记录以及时发现异常登录信息(进入支付宝->头像->设置->账户安全->安全中心->设备管理->右上角问号->左下角自助服务->登录记录),或暂时解除银行卡绑定。 支付宝方面表示,与其合作的
发布时间:2015-10-02 05:35 | 阅读:72829 | 评论:0 | 标签:业界 支付宝

支付宝9.0重置密码功能存在缺陷,可轻易修改任意用户密码

众所周知,在支付宝新升级的9.0版本中取消了用户手势密码的设置,转变为“大数据风控”保护。如果用户手机不具备指纹解锁功能,那么在其手机上支付宝账户可以直接被访问。 这个修改遭到了不少网友的吐槽和质疑,很多人担心会因此泄露自己的淘宝购买记录和日常生活消费记录,同时还有人担心这样会增加熟人作案的风险,一旦有人拿到了你的手机,通过小额支付功能便可以转走或者消费一部分钱。 当然支付宝也有自己的说法,支付宝称自己通过多年积攒的大数据来通过用户行为分析进行身份认证,当不是本人在使用时,支付宝可以通过细小的行为习惯上的区别来判断。 然而这个宣称“甚至每一次敲击屏幕都是安全考验”的安全体系貌似并没有那么神。在昨天中午,FreeBuf创始人pnig0s在微博吐槽,支付宝9.0的重置密码功能存在逻辑问题,只需要知道用户身份证号
发布时间:2015-07-14 08:40 | 阅读:87210 | 评论:0 | 标签:安全 支付宝 用户密码 设计缺陷

支付宝安全吗?手机丢了支付宝怎么办

日前,微信朋友圈里流传一篇《手机丢了,里面装了支付宝,后果会如何?》的文章,里面提到,首先,获得手机后如果不知道支付宝登录名,好多人的登录名就是手机号;不知道登录密码,通过点击“忘记密码”,一个手机验证码就能搞定。也就是说你只要有了手机,账号和登录密码就都有了。 而支付宝账号如果装有数字证书,一个短信就可以解除;接下来,支付密码同样也可以一个短信就搞定。 文章最后提醒:“一定收好你的手机,它比你的钱包还重要。” 官方答复:手机丢失后要尽快办挂失 支付宝公关部工作人员表示,网上流传的帖子已经很久了。针对其所说的问题,公司通过微信公众号等途径曾多次回应过,最近的一次是2014年12月15日。实际操作也可以证明,支付宝安保措施升级以后,按照帖子说的去做是行不通的。至于手机、身份证、银行卡一起丢失,并因而导致支付宝账
发布时间:2015-06-15 21:15 | 阅读:89591 | 评论:0 | 标签:圈内纪实 安全播报 支付宝

支付宝出现故障无法登陆 回应称光纤被挖断

经常讲物理安全,听说过光纤被老鼠要断的,这次是被人挖断的,难道施工人员不看标示吗? 5月27日下午,一些网友反映支付宝出现网络故障,进入支付宝钱包APP之后,总是提示网络连接失败,也无法进行转账等操作。还有网友反映,无法打开余额宝,或者进入余额宝后不能显示余额。 对此,支付宝方面回应称:由于杭州市萧山区某地光纤被挖断,造成目前少部分用户无法使用支付宝,运营商正在抢修,支付宝工程师正在紧急将用户请求引流至其他机房,受影响的用户正在逐步恢复。您的资金安全并不会因此受到任何影响。如果出现交易信息不同步的情况,在修复后会恢复同步。
发布时间:2015-05-27 22:35 | 阅读:69774 | 评论:0 | 标签:信息安全 支付宝

趋势科技发现支付宝安卓版漏洞

最近,趋势科技发现支付宝Android应用程序上有两个漏洞,可被攻击者用来进行网络钓鱼(Phishing)攻击以窃取支付宝认证信息。第一个漏洞:输出组件ActivityAndroid应用程序有几个重要的组件,其中之一是Activity(Activity是Android组件中最基本也是最为常见用的四大组件之一)。Activity有一个重要的属性,android:exported。如果此属性设定为「true」时,安装在同一Android设备上的每个应用程序都可以调用这个组件(Activity)。趋势科技发现支付宝的官方Android应用程序存在此组件被攻击的风险。支付宝钱包8.2版本程序的Activity组件部分,可被用来增加一个支付宝卡券归集管理平台(支付宝内部命名为“AliPass”)。别有用心
发布时间:2014-08-25 09:45 | 阅读:54303 | 评论:0 | 标签:终端安全 支付宝 漏洞

路遇钓鱼站,巧射下支付宝

本来是想破他解软件的、 先下载软件PEID查壳 Microsoft Visual C++ v6.0  无壳 一般都是易语言写的 载入OD 选项里面有插件 然后选择超级字符串参考  然后在文本字符串里面一般都能找到发送邮箱和密码的 载入OD无果,就吧程序换成txt打开 搜索smtp 然后登陆之 因为站用的邮箱不是这个号的邮箱所以就翻了翻邮箱,发现了个支付宝修改密码 于是乎 用QQ密码登陆之 密码错误,试试找回 是两数字 于是用QQ密码试了下不行 然后输入同样的数字 就这样 没什么技术含量  第一次射成功 声明: 本文采用 CC BY-NC-SA 3.0 协议进行授权转载请注明来源:Panni Security Team本文链接地址:[sourcelinkurl]
发布时间:2013-04-22 11:50 | 阅读:81843 | 评论:0 | 标签:黑客攻防 支付宝 社工 钓鱼站

支付宝部分转账付款信息遭泄露

近日,据多位网友爆料,在搜索引擎谷歌中输入“site:shenghuo.alipay.com”后,可公开查看支付宝转账付款信息。信息的内容包括了付款和收款账户信息、付款金额、付款说明和付款时间,这些私密信息的泄露令人吃惊。 对此,有网友认为支付宝存在安全漏洞,也有人指出不排除谷歌抓取信息越界。但作为第三方单子支付企业,应该采取更为严格的信息保护措施,否则面临信任和法律风险。 针对此事,支付宝在官方微博作出声明。 声明全文如下: 针对用户反映的这一问题,经过我们确认:支付宝生活助手转账付款结果页面一般用于支付双方展示支付结果,不含用户真实姓名、密码等重要信息,支付宝对这一页面链接加具了安全保护,正常情况下任何搜索引擎都无法抓取。初步调查后发现,不排除有极少用户将自己付款结果页面分享到公共区域,造成某些搜索引擎
发布时间:2013-04-01 16:10 | 阅读:79610 | 评论:0 | 标签:安全公告 支付宝 转账

支付宝的设计问题

GaRY@WooYun在reader里看到这一系列文章,作者用亲身经历对支付宝的移动支付体系做了次验证.很有意思的文章,发到zone里大家讨论讨论.原文:第一篇  第二篇 第三篇—————————————————————支付宝的一项设计问题发表于 2012 年 12 月 30 日话说最近,贝壳成批更新了一些密码。在更新到网络支付系统的时候,心血来潮做了个分析。感觉网银系统很不安全。尤其是支付宝的手机客户端。我们下面以一个实际例子说明一下支付宝系统(其实远不止支付宝
发布时间:2013-02-26 20:03 | 阅读:113414 | 评论:0 | 标签:吐槽 支付宝

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云