记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华如何摆脱Google的影响,实现一个完全无Google因素的网络环境
前言本文我得先从我最近参与的一个安全检测项目开始谈起,本次的客户是一家企业,不得不说,本次我们的客户的安全防护做得非常好。他们的安全运营中心(SOC)配备了很多先进的内部异常检测工具以及顽强的事件响应团队。这里我要说一句,他们是Google的客户,并利用G Suite来处理他们基于云的业务应用程序。2019年4月,Google为 G Suite带来了一系列更新,本轮更新重点增强了公司数据的保护,既包括控制用户的访问权限,还可以通过提供新的工具来防止网络钓鱼和恶意软件攻击。本次Google还发布了高级网络钓鱼和恶意软件保护Beta版本,旨在帮助管理员保护用户免受恶意附件和电子邮件欺骗等因素的影响。于是,我花了相当长的时间
Microsoft Store中发现一款伪装成Google相册的恶意软件
今天在微软商店中发现了一个名为“Google相册”的恶意应用程序,它把自己的来源伪装成了谷歌公司。这个应用程序假装自己是Google相册的一部分,但实际上是一个广告点击器,它可以在Windows 10中重复打开隐藏的广告。这个免费的“Google相册”声称是由Google LLC创建的,其中包含“一款与您一样聪明的照片应用”的说明。您可以在下面看到它在微软商城页面的图像。由于这是一个广告点击器,所以用户们对它的评论不是很好。其中一篇评论称它是“假应用”,另一篇评论的标题是“这是假的,不要安装”。下面我们将挖掘并解释广告点击器的工作原理,以及它显示的广告类型。谷歌相册广告点击器“Google相册”是一款PWA应用(渐进式
11.25万美元!360 Alpha 团队刷新谷歌漏洞奖金记录
Google的Pixel一直号称是最难攻破的Android手机,然而,在2016年11月的黑客比赛PwnFest中,以360研究员龚广为首的360 Alpha团队完成了这个几乎不可能的任务。而在2017年的Mobile Pwn2Own上,没有一支团队能攻破Google Pixel,是白帽子们束手无策了吗?原来,360 Alpha早就发现了一个小行星级的漏洞,由于波及范围太广,他们在8月份就把漏洞提交给了Google。上周,Google官方发文致谢360 Alpha团队提交的“穿云箭”漏洞,并向360 Alpha团队负责人龚广颁发了总额为11.25万美元的奖金,该数额刷新了安卓漏洞奖励计划(ASR)的纪录。这件事也标志着360在Google漏洞致谢榜单上的三连冠。360助理总裁、首席安全工程师郑文彬演示“穿云箭”
Google PDFium TIFF Image Flate解码器代码执行漏洞分析(CVE-2017-5133)
CVE编号:
CVE-2017-5133
概要
由Chrome浏览器使用的包含60.0.3112.101的Pdfium的TIFF图像解码器功能中的堆漏洞存在一个读取/写入漏洞。特制的PDF文件可以在堆上触发逐个读写,导致内存损坏,可能的信息泄漏和潜在的代码执行。受害者需要在浏览器中打开恶意PDF,以触发此漏洞。
测试版本
Google Chrome 60.0.3112.101
产品网址
https://pdfium.googlesource.com
CVSSv3得分
7.5 – CVSS:3.0 / AV:N / AC:H / PR:N / UI:R / S:U / C:H / I:H / A:H
细节
Pdfium是由Google开发的开源PDF渲染器,广泛用于Chrome浏览器,在线服务以及其他
Google SpreadSheet的CSRF漏洞和JSON劫持漏洞导致数据窃取
在2015年10月,我发现了一个谷歌的与电子表格的展示有关的一个API中的JSON+CSRF劫持漏洞,使用这种漏洞的攻击者可以窃取目标受害者的电子表格的内容而无需谷歌云盘的权限。
漏洞的影响:
当利用网络对目标受害者发起攻击的时候,攻击者能够绕过google drive 本地电子表格的ACL共享限制。为了展现这个漏洞,一个未被授权的攻击者对Google Drive文件尝试访问,如下图所示,可以利用该漏洞绕过谷歌安全保护:
漏洞的性质:
其实这已经不是第一次谷歌被发现JSON劫持并获取用户数据的漏洞。
这个漏洞的本质是谷歌的API驱动软件设计的缺陷而导致的OWASP TOP 10 (2013) – A8-Cross-Site Request Forgery (CSRF) 漏洞。
这个漏洞并不难挖掘,
谷歌为Mac OS打造开源恶意检测系统
谷歌最近正致力于打造一款针对MacOS的恶意检测系统,目前它已经在Github上开源。这个由谷歌Macintosh Operations团队开发的项目名叫Santa,现在已经更新到了0.9.12版本。如谷歌所描述的那样,Santa并不完全是一个杀毒引擎。它会通过黑白名单机制,对MacOS的进程进行控制。当前版本Santa的GUI界面,其实只有一个通知弹窗,而且是在它阻止某个进程运行的时候才会弹出来。这个恶意软件嗅探系统,会扮演一个用户守护进程的角色。它会去主动扫描新出现的进程,并根据自身维护的基于黑白名单的SQLite数据库,判断某个应用是否应该继续运行。两种操作模式该项目在Github的文档中,有两种操作模式:监控(MONITOR)和封锁(LOCKDOWN)。在监控模式中,该系统会借助黑
Pokemon Go玩家或成为下一个网络攻击对象
Pokemon Go (口袋妖怪 Go)在全球引发了一场抓捕小精灵的热潮,尽管只在部分地区发布,但这款游戏却在不到一周的时间内获得了超过百万次的安装量。Pokemon Go的火爆现象同时也吸引了网络罪犯的注意。赛门铁克安全团队已经发现了针对该游戏的社交媒体骗局和木马版本。不仅如此,由于官方版本要求用户开放相关权限,隐私和数据安全问题也受到了公众的关注。在奋力抓捕口袋妖怪的同时,赛门铁克安全团队希望提示玩家注意以下网络威胁,保护设备和自身安全。免费 PokeCoin 骗局在Pokemon Go中,玩家可以在应用内购买被称为 PokeCoin 的虚拟货币,并用来购买游戏中的道具,例如引诱口袋妖怪的熏香,或孵化稀有口袋妖怪的蛋。一些玩家希望绕过应用内的购买机制,尝试在网络上搜索打折或免费的PokeCoin。不幸的是,
安全课堂:学web渗透必会SQLMAP实战篇
SQLMAP是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB。从SQLMAP自动注入开始讲解,检测动态页面中得get/post参数、cookie、http头等,采用五种独特的SQL注入技术,分别是:1. 基于布尔的盲注,根据返回页面判断条件真假的注入;2. 基于时间的盲注,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断;3. 基于报错注入,页面会返回错误信息,把注入的语句的结果直接返回在页面中;4. 联合查询注入,可以使用union的
发现网络空间里的「暗物质」情报
Paper 在这: https://github.com/evilcos/papers,找「发现网络空间里的“暗物质”情报」。
这个演讲是 ZoomEye Team 的近期结果汇总,当然你不仅可以了解到我们在做什么,还可以知道我们在这个网络空间「汪洋」里的经验。我们得像「海盗」那样做事,才能做好安全研究,因为地下黑客正是如此。
Enjoy
发布时间:2015-10-06 00:00 |
阅读:158255 | 评论:0 |
标签:01 Hack BigData Camera CDN CyberSpace Google Heartbleed ICS
我是如何发现Google服务器上的LFI漏洞的
本文将介绍如何利用本地文件包含漏洞读取Google某服务器上的任意文件。漏洞存在于Google的Feedburner中,在提交漏洞后,Google安全团队迅速修复了这一漏洞。FeedBurner是什么维基百科上对FeedBurner的介绍:FeedBurner是一个于2004年在美国芝加哥市成立的网站馈送管理供应商。FeedBurner为博客作者、播客与其他基于网络的内容发布者提供订制的RSS馈送与管理工具,提供予发布者的服务包括流量分析以及一个可供选择的广告系统。2007年Google收购了FeedBurner。FeedBurner之前就曾是我的目标之一,很久以前我就在这个域名发现过一些xss,我猜想可能还会有有趣的漏洞。之后我在调查后发现,FeedBurner以前有个开放的API,但是
谷歌应用曝缺陷部分用户数据遭泄露
据外媒报道,网络安全方面的研究员于本周四表示,在将近2年的时间里,谷歌提供的部分商业应用及工具一直在泄露部分用户的个人信息。
谷歌Apps for Work是一套特别为商务应用打造的在线服务,包括Gmail和Calendar,其同时也包含了Google Domains的一个版本,可以让用户购买网址并拥有公司域名下的专属电邮地址,例如a12345@yourcompany.com。
用户如果通过Google Apps for Work进行域名注册,则可以选择隐藏包括姓名、地址和电话之类的注册信息,而在通常情况下,此类信息应域名管理机构ICANN的要求是需要公开披露的。但谷歌产品的一个缺陷会导致此类信息出现在互联网上,即便用户选择隐藏。
据Talos安全情报与研究集团的一篇博文显示,该缺陷从2013年年中起,至数星
Google Apps被爆漏洞,可伪造任意邮件地址发送邮件
最近有国外的安全研究者发现了Google Apps for Work的一个严重安全漏洞,该漏洞允许黑客伪造任意邮件地址发送邮件,利用该漏洞黑客可以发送钓鱼邮件给公司员工来进行攻击。
Google Apps for Work允许你使用以自己域名为后缀的邮箱地址,比如你想把你的邮箱换成admin@yourdomain.com,你只需要注册Google Apps for Work账户就可以了。
如果你想获取一个属于自己域名的邮箱地址,首先你先要注册一个账户,就像注册一个gmail账户一样。然后系统会要求你输入自己的域名。当你注册成功之后,你可以在Google app的接口上访问你的域名管理面板,但是在你验证通过域名之前你不能使用任何的服务。
安全研究者发现攻击者可以注册一个账户然后输入一个任意的域名,比如bankof
公告
九层之台,起于垒土;黑客之术,始于阅读