记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华工信部通报今年第五批131款侵害用户权益行为APP
关于侵害用户权益行为的APP通报2020年第五批依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,按照《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管〔2020〕164号)工作部署,我部近期组织第三方检测机构对手机应用软件进行检查,督促存在问题的企业进行整改。截至目前,尚有131款APP未完成整改(详见附件),上述APP应在11月2日前完成整改落实工作。此次检测中,输入法类、旅游出行类、电商类、音视频类等APP检测发现问题较多,部分应用商店及移动应用分发平台管理主体责任缺位,SDK企业存在违规收集用户个人信息的行为。
发布时间:2020-10-27 16:23 |
阅读:2364 | 评论:0 |
标签:app
宅男福利?某不可描述APP的逆向破解
收录于话题 宅男福利?某不可描述APP的逆向破解不忍直视走起0x01 前言在电报群里偶然发现了一个违背社会主义价值观的APP必须码上。0x02 搞起随便翻一翻,发现还有次数限制,果然短视频火了以后,什么行业都能说自己是短视频。花钱是不可能花钱的,白嫖才是王道,话不多少,搞它。0x03 初探将apk丢进查壳工具里,发现没有壳?!很好,很有精神。使用jeb反编译。直接搜索VIP,isIs_vip进入视野,我重新进入软件界面发现并没有啥VIP内容,这里先忽略。我想先看看长短视频的观看次数是如何定义的。于是Resources=> values => strings.xml查找。
安全工具OWASP、Burp Suite、Appscan对比
机缘巧合,最近接触了一款开源的web安全工具OWASP ZAP,着实眼前一亮。操作简单易用、功能齐全、插件种类丰富,具备代理、数据截断、扫描、主动攻击、爬虫、fuzzing、渗透测试等多样的安全测试功能,相比于商业版的Burp Suite和AppScan工具,OWASP ZAP不乏为一款不错的商用版替代工具,也是安全人员入门的极佳体验工具。本文将根据OWASP ZAP工具特性,分别将其与Burp Suite、AppScan工具进行对比,来感受该工具的强大功能。
App安全检测实践基础——工具篇
收录于话题 投稿作品---->作者:calmness目录ApktoolApk反编译得到Java源代码dex2jarjd-gui.exe劫持工具使用方法:adb工具PYTHON2.7drozer工具安装及使用使用drozer?
工信部回应App违规收集个人信息:已检测32万款App
工业和信息化部新闻发言人、信息通信发展司司长闻库。10月22日,在国新办新闻发布会上,针对受到广泛的关注的App违规收集使用个人信息的问题,工业和信息化部新闻发言人、信息通信发展司司长闻库表示,当前工信部里已经完成了国内主流应用商店32万款APP的技术检测工作,督促1100多家企业进行整改。
发布时间:2020-10-22 15:22 |
阅读:6950 | 评论:0 |
标签:app
Apple/Opera/Yandex已修复地址栏欺骗网络钓鱼漏洞
作为老生常谈的话题,网络钓鱼依然是攻击者最热衷使用、且最行之有效的攻击方法之一。即使是久经考验的资深用户,在面对层出不穷的钓鱼手段有时候也可能会中招。近日,安全研究员拉斐·巴洛赫(Rafay Baloch)发现浏览器的反网络钓鱼功能(通常是网络钓鱼受害者最后一道防线)并不完美。他在某些使用最广泛的移动浏览器(包括Apple的Safari,Opera和Yandex)中发现了多个漏洞,而利用这些漏洞,攻击者将能够诱骗浏览器显示与用户实际访问网站不同的网址。这些地址栏欺骗错误使攻击者更容易使其仿冒网站看起来像合法网站,从而为试图窃取密码的人创造了完美的条件。
App安全检测实践基础——工具
收录于话题 网安引领时代,弥天点亮未来 0x00目录简述ApktoolApk反编译得到Java源代码dex2jarjd-gui.exe劫持工具使用方法adb工具PYTHON2.7drozer工具安装及使用使用drozer对app进行测试0x01APKTooLapktool:简而言之就是获取资源文件,主要查看res文件下xml文件、AndroidManifest.xml和图片。
隐私合规 | 关于工信部《App违法违规收集使用个人信息行为认定方法》的评估
APP认定方法评估的初步总结---2020/10/16APP认定方法评估主要依据191号文《App违法违规收集使用个人信息行为认定方法》(规定了什么行为被认定为337中的违规)、337号文《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》(定义了某种违规的含义)。
Apple/Opera/Yandex 已修复地址栏欺骗漏洞 但仍有数百万设备未修复
作为老生常谈的话题,网络钓鱼依然是攻击者最热衷使用、且最行之有效的攻击方法之一。即使是久经考验的资深用户,在面对层出不穷的钓鱼手段有时候也可能会中招。近日,安全研究员拉斐·巴洛赫(Rafay Baloch)发现浏览器的反网络钓鱼功能(通常是网络钓鱼受害者最后一道防线)并不完美。
他在某些使用最广泛的移动浏览器(包括Apple的Safari,Opera和Yandex)中发现了多个漏洞,而利用这些漏洞,攻击者将能够诱骗浏览器显示与用户实际访问网站不同的网址。这些地址栏欺骗错误使攻击者更容易使其仿冒网站看起来像合法网站,从而为试图窃取密码的人创造了完美的条件。
移动安全-APP渗透进阶之AppCan本地文件解密
收录于话题 本篇文章由团队大佬 pyth0n 总结编写前言之前渗透app的时候,发现好几款app,拖到jadx里搜不到相关代码,后来发现在assetswidget 目录下有对应的js和html文件,原来都是html混合开发的每个资源文件都是被加密过的,且每个文件的最后一行都有 "3G2WIN Safe Guard" 标识。
《全国移动App风险监测评估报告》发布
近日,由 移动互联网系统与应用安全国家工程实验室牵头,中国信息通信研究院安全研究所和北京智游网安科技有限公司(爱加密)一起参与,三方联合发布了《全国移动 App风险监测评估报告》(2020年3季度版)。本次评估报告包括全国移动App安全概况、App行业分布、本季度增量情况、移动应用个人信息安全案例分析、第二季度App风险监测评估总结等内容。App风险监测评估报告面向社会公众免费发布,为行业用户了解本行业App安全提供了参考,也为个人用户开启了一扇了解当下App安全热点的窗户。
【拆解】Apple Watch Series 6
收录于话题 LTPO OLED视网膜显示屏,针对常亮功能进行了优化,取消了Force Touch;SiP封装的64位双核Apple S6;更新了传感器阵列,可测量心率,ECG和即时血氧水平;指南针和实时高度计;防水深度达50米。可伸缩新表带槽里的丝印,可以确认这确实是一款新的Apple Watch(型号A2376)。新的Apple Watch像iPhone一样,是通过掀开屏幕左侧打开内部——就像翻开一本书。由于删除了Force Touch压感功能,因此没有相应的垫圈组件,这使拆装新Apple Watch变得更加容易。iFixit还发现排线更少,设计更简化,维修更简便。
发布时间:2020-10-16 20:51 |
阅读:7436 | 评论:0 |
标签:app
【移动安全】「 O 泡果奶」App 分析
收录于话题 近日,一个名为「一个礼物」的文件在大学中传播开来,手机只要点开就会强制播放“o泡果奶”的魔性广告声,中招者会因该原因产生“社会性死亡”。
android安全(十一)android logcat抓取app日志的方法
收录于话题 一.logcat抓log方法:adb logcat命令,可以加条件过滤1.安装SDK(参考Android sdk环境安装)2.使用数据线链接手机,在手机助手的sdcard中建立一个1.
2021年 Android & iOS App 安全还能做什么?
一些漏洞已经 “can’t breathe”说到移动 App 安全,很多人出现在脑海中的可能是 CVE-2012-6636,不得不说 6636 确实是个无比稳定且经典的漏洞,但漏洞都具有时效性,现在市场中的 Android App 在 WebSettings 都会对版本进行判断从而缓解该漏洞的影响,更重要的原因是该漏洞存在于 Android < 4.2,而当前主流 Android 操作系统版本已经是8.X。
严重的Apple iCloud Bug允许自动盗窃照片
到目前为止,有道德的黑客从Apple Bug赏金计划中获得了将近30万美元的报酬,他们在三个月的黑客攻击中发现了55个bug,其中11个是严重漏洞 一群道德黑客破解了苹果的基础设施和系统,并在三个月的时间内发现了55个漏洞,其中许多漏洞使攻击者可以完全控制客户和员工的应用程序。值得注意的是,一个关键的、可操控的iCloud账户接管漏洞将允许攻击者自动窃取受害者的所有文档、照片、视频等。
WappalyzerParse Golang 解析库
开源一个Wappalyzer指纹库解析的Golang库,目前暂不支持识别,只支持解析指纹库。后续有时间将补充识别功能。https://github.com/iiiusky/WappalyzerParse可以输出json结果以及直接使用结构体。
发布时间:2020-10-10 19:35 |
阅读:8561 | 评论:0 |
标签:app
10月7日每日安全热点 - iOS app安全研究——Slide
漏洞 VulnerabilityChrome 86.0.4240.75版本发布,修复35个漏洞https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop.htmlAndroid 十月安全更新通告https://sourc
CobaltStrike视频学习笔记系列:(二十七)applet渗透测试手法
0x00 前言在开始今天的内容之前,先来看看什么情况下会进行云查杀:1、首先判断文件是否为正常文件2、如果判断为可疑文件,则把文件的 hash 上传到云上3、同时把这个文件标记为可疑文件,而不是正常文件因此可以通过修改我们的脚本来使其跳过云查杀,就像是在白名单里的程序一样。0x01 Java Applet接下来一起来看看 Cobalt Strike Java Applet 攻击,在 Cobalt Strike 的源码中内置了用于攻击 Java Applet 签名的 Applet 工具。
Characterizing Android App Signing Issues
会议:ASE’19 作者&组织:Haoyu Wang (Beijing University of Posts and Telecommunications);Hongxuan Liu (Peking University);Xusheng Xiao (Case Western Reserve University);Guozhu Meng (SKLOIS, Chinese Academy of Sciences);cm 论文:Link
Introduction
在本篇文章中,作者首次对Android App签名问题进行了大规模研究。
app安全之反编译(一)
收录于话题 以往安全爱好者研究的往往是关注app的本地安全,比如远控、应用破解、信息窃取等等,大多人还没有关注到app服务端的安全问题,于是在这块的安全漏洞非常多。移动app大多通过web api服务的方式跟服务端交互,这种模式把移动安全跟web安全绑在一起。移动app以web服务的方式跟服务端交互,服务器端也是一个展示信息的网站,常见的web漏洞在这也存在,比如说SQL注入、文件上传、中间件/server漏洞等,但是由于部分app不是直接嵌入网页在app中,而是使用的api接口返回josn数据,导致扫描器爬虫无法爬取链接。
drozer app.package.manifest 有时候完全错误的 bug
平时经常用 drozer dump manifest,感觉稍微有点难用,直到某次批量 dump,发现很多 manifest 连 hash 都一样,发现 drozer 抽风了,本文记录一下。一、触发方式在小米手机上,运行 run app.package.manifest com.miui.notes ,发现返回的是 com.xiaomi.micloud.sdk 的 manifest。当然在其他手机上也有类似的现象,我就不列举了,批量 dump 就会发现的。
发布时间:2020-10-06 22:00 |
阅读:10088 | 评论:0 |
标签:app
"安全防护"不安全 这个APP千万别下载
据杭州市公安局反欺诈中心消息,杭州最近发生多起冒充公检法诈骗案件。9月26日,杭州袁某在接到冒充公检法诈骗电话后,下载APP最终导致被骗46万元。同日,杭州翁某在接到冒充公检法诈骗电话,按照对方要求在虚假APP上进行操作和登记,被骗300余万元。9月28日,杭州叶某在接到冒充公检法诈骗电话后,被骗6万元,在杭州市反诈中心劝阻后没有将贷款的钱汇出去,避免了更大的损失。几起案件中,骗子以查案为由,要求受害者下载一款名为“安全防护”的APP,这款APP自带拦截电话功能,导致外界无法及时联系受害人做防范提醒,最后,骗子会让受害人在APP上填写银行卡等信息,最终导致受害人被骗。
【训练营】安卓APP逆向分析必备技能,你掌握了吗?
收录于话题 近年来,各大CTF赛事中安卓平台题目不断涌现,头部互联网公司也对移动业务安全如风控、手游反外挂、安全合规等越来越重视 在这样的大背景下,安卓安全方面的人才需求与日俱增,对安卓APP的逆向分析也成为了广大安全从业人员不可或缺的基本技能。为了实现对安卓APP的逆向分析工作,往往在拿到一个apk以后需要首先使用静态分析对apk进行反编译和代码审计。 但是,随着APP加壳技术的普及与加固服务的便捷,越来越多的安卓App在发布前便使用代码加固来增加逆向分析难度,对加固App的脱壳便成了首要解决的难题。
某学习APP存在收货地址全局越权删除
收录于话题 以下文章来源于EDI安全 ,作者纯钧 EDI安全 渗透测试,内网渗透,SRC漏洞分享,安全开发,安全武器库 点击关注我哦 【漏洞类型】:业务逻辑漏洞 【漏洞级别】:高危 【漏洞描述】:我的 =》商城=》替换data返回值 =》正常进入兑换界面 =》 地址管理 =》地址删除处可以遍历ptAddressId导致删除任意用户使用的地址,涉及80多w用户地址。
黑客可利用 Instagram APP 的漏洞对用户手机进行远程攻击
9月24日,在与《The Hacker News》共享的一份报告中,Check Point研究人员披露了有关 Instagram Android应用程序中一个关键漏洞的详细信息,该漏洞可能允许远程攻击者仅向受害者发送特制图像即可控制目标设备。
更令人担忧的是,该漏洞不仅使攻击者可以在Instagram应用程序中代表用户执行操作(包括监视受害者的私人消息,甚至从其帐户中删除或发布照片),而且还可以在设备上执行任意代码。
Instagram_RCE:Instagram APP远程代码漏洞
研究人员在Facebook Instagram 安卓和iOS 版本APP 中发现了一个高危漏洞,攻击者利用该漏洞可以拒绝用户访问APP,完全控制用户账户,甚至利用手机设备监听用户。漏洞细节该漏洞存在于Instagram 处理图像的方式中,从技术上将该漏洞是一个堆溢出漏洞(CVE-2020-1895),当Instagram 尝试发送大一点的文件时会触发该漏洞。攻击者只需通过常见的消息平台或邮件向攻击目标发送精心伪造的图片就可以触发该漏洞。有漏洞的函数为read_jpg_copy_loop,会在解压缩过程中引发整数溢出。
天融信TopApp-LB负载均衡系统SQL注入
POST /acc/clsf/report/datasource.php HTTP/1.1Host: www.secvery.comConnection: closeAccept: text/javascript, text/html, application/xml, text/xml, */*X-Prototype-Version: 1.6.0.3X-Requested-W
12岁女孩发现可疑应用 Avast顺藤摸瓜挖出47个广告诈骗APP
近日,一位生活在捷克的 12 岁女孩发现一款热门应用程序存在可疑行为,所以她决定将这件事报告给网络安全公司 Avast。在收到她的报告之后Avast 展开了调查,最终确定了 47 个广告软件诈骗应用,而且在谷歌和苹果应用商城上都被大量下载。根据这名女孩最初的报告,Avast 顺藤摸瓜找出了多款存在诈骗的应用程序。不过遗憾的是,截至被曝光时这些应用在 Play Store 和 App Store 上已经下载超过将近 240 万次,这些应用程序的开发者据信已经获得了 50 万美元的净收入。这名女孩能够发现这些诈骗应用绝非偶然。