记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华下载量超2000万次,这些网络钓鱼app赶快卸载
最近,一种新的活动跟踪应用程序在 Android 的官方应用程序商店 Google Play 上取得了巨大收获,其下载量已经超过2000万次。这些应用程序将自己包装为健康、计步器和养成良好习惯的应用程序,承诺为用户在日常生活中保持活跃、达到距离目标等提供随机奖励。不过,根据 Dr.Web 杀毒软件的一份报告,奖励可能无法兑现,或者在强迫用户观看大量广告后只能部分兑现。
7.bWAPP -- INSECURE DIRECT OBJECT REFERENCES
7.bWAPP -- INSECURE DIRECT OBJECT REFERENCES0x01、Insecure DOR (Change Secret)同 XSS - Stored (Change Secret)Low仔细观察页面, 发现隐藏一个input标签, 作用是输入用户名, 并且配
发布时间:2023-01-30 16:17 |
阅读:38319 | 评论:0 |
标签:app
下载量超 2000 万次,这些网络钓鱼 app 赶快卸载
最近,一种新的活动跟踪应用程序在 Android 的官方应用程序商店 Google Play 上取得了巨大收获,其下载量已经超过2000万次。
这些应用程序将自己包装为健康、计步器和养成良好习惯的应用程序,承诺为用户在日常生活中保持活跃、达到距离目标等提供随机奖励。
不过,根据 Dr.Web 杀毒软件的一份报告,奖励可能无法兑现,或者在强迫用户观看大量广告后只能部分兑现。
实力认证 | 2023年度CAPPVD漏洞库技术支撑单位名单公示
2023年1月,工业和信息化部移动互联网APP产品安全漏洞专业库(以下简称“CAPPVD漏洞库”)根据《CAPPVD漏洞库支撑单位能力评定办法》,经过对各支撑单位在2021-2022年度的支撑情况开展能力评定,最终确定31家单位入选为2023年度CAPPVD漏洞库技术支撑单位,梆梆安全凭借在移动应用安全和物联网安全行业专业的安全技术能力、自主研发的支撑工具平台、优质高效的安全服务能力,成功入选并荣获技术支撑单位证书。2021-2022年度,梆梆安全积极参与CAPPVD举行的各项主题活动并分享技术创新与行业趋势,一如既往地全力支撑国家移动互联网APP产品安全漏洞管理工作。
复现某APP的最新版本签名算法分析
目标安卓版本10.0.2,对其进行抓包并探索sign签名算法分析通过全局搜索sign=在com.jingdong.sdk.gatewaysign和com.jingdong.jdsdk.network.toolbox中发现对sign的操作由此
2.bWAPP OS Command Injection(Blind)&PHP Code Injection 系统命令执行
2.bWAPP OS Command Injection(Blind)&PHP Code Injection 系统命令执行LDAP Injection (Search)LDAP 全英文:Lightweight Directory Access Protocol,翻译过来就是轻量级的目录访问协议。其实就是访问目录,浏览目录。有很多企业存储一些数据信息,例如部门信息,部门里成员的信息,公司的可用设备信息等,这些信息单独放在类似于网站的那种数据库中的话,会显的有点大材小用,而把它们放在目录中,文本中最合适。好比在文档中搜索指定的内容,在目录中搜索指定的文件一样。
APP加密算法和签名算法的还原
本文为看雪论坛优秀文章看雪论坛作者ID:taobluesky最近遇到一个强度还是挺高的壳,跟大家分享一下如何带壳进行调试,纯粹的技术交流,请勿利用此文章做非法用途!一准备环境frida 12.11.18jeb-3.24jadx-gui-1.3.3-1xcubeandroid 7.0(真机)这里说下为什么一定要用真机,这个壳有模拟器检测,再者就是这个app根本就没编译x86指令的so,所以根本无法在x86模拟器下运行起来。下面直接进入正题。二初探挂上http代理,尝试拦截流量,客户端直接报ssl证书错误,很明显有ssl pinning之类的验证。
1.bWAPP HTML Injection (HTML注入)
1.bWAPP HTML Injection (HTML注入)HTML Injection - Reflected (GET)get方式的html代码注入漏洞url:http://range.anhunsec.cn:82/htmli_get.phpLevel: low低级漏洞中,输入数据没有做校
苹果 iOS / iPadOS 16.3 正式版发布:iCloud 高级数据保护、Apple ID 安全密钥上线
IT之家 1 月 24 日消息,苹果今日向 iPhone 和 iPad 用户推送了 iOS / iPadOS 16.3 正式版更新(内部版本号:20D47),本次更新距离上次发布隔了 41 天。更新内容显示,本更新推出了庆祝黑人历史月并致敬黑人历史和文化的全新“团结”墙纸、iCloud 高级数据保护、Apple ID 安全密钥,同时包括针对 iPhone 的其他增强功能、错误修复和安全性更新。需要注意的是,因苹果各区域节点服务器配置缓存问题,可能有些地方探测到升级更新的时间略有延迟,一般半小时内,不会太久,无法收到更新的IT之家小伙伴可以稍后再查找更新。
苹果 macOS 13.2 正式版发布,Apple ID 安全密钥更新上线
IT之家 1 月 24 日消息,苹果今日向 Mac 电脑用户推送了 macOS 13.2 正式版更新(内部版本号:22D49),本次更新距离上次发布隔了 41 天。本次更新引入了 Apple ID 的安全密钥,并包括其他增强功能和 Mac 的错误修复。需要注意的是,因苹果各区域节点服务器配置缓存问题,可能有些地方探测到升级更新的时间略有延迟,一般半小时内,不会太久,无法收到更新的IT之家小伙伴可以稍后再查找更新。
全国网信系统去年约谈网站平台8608家 下架App420款
2022年,全国网信系统持续加大网络执法力度、规范网络执法行为,坚决依法查处各类违法违规案件,坚持处罚和教育相结合的原则,努力做到宽严相济、法理相融,让执法既有力度又有温度。据统计,全国网信系统全年累计依法约谈网站平台8608家,警告6767家,罚款处罚512家,暂停功能或更新621家,下架移动应用程序420款,会同电信主管部门取消违法网站许可或备案、关闭违法网站25233家,移送相关案件线索11229件。
发布时间:2023-01-19 18:26 |
阅读:263851 | 评论:0 |
标签:app
Threema 加密通信APP多安全漏洞
研究人员在端到端加密通信APP Threema发现多个安全漏洞。Threema是一款瑞士的加密通信APP,有超过100万用户和7000本地部署用户。其中,Threema重要用户包括瑞士政府和军方,以及德国总理。Threema广告宣称是其他即使通信应用的安全可替代产品。Threema攻击瑞士苏黎世联邦理工学院 (ETH Zurich) 研究人员共涉及了7种针对Threema协议的安全攻击,可打破Threema APP的通信隐私,包括窃取私有密钥、删除消息、破解认证、欺骗服务器等。
警惕Rapper僵尸网络新变种及挖矿活动
#挖矿 4 个 #僵尸网络 5 个 #Rapper 1 个 1. 概况2023年1月初,奇安信威胁情报中心威胁监控系统监测到一起僵尸网络活动事件,经过分析该僵尸网络属于曾被披露过的僵尸网络家族 Rapper ,此次事件中所发现的新版样本的结构与此前披露的样本有较大区别,同时分析人员发现该团伙开始利用 xmrig 进行挖矿活动。
苹果 macOS 13.2 RC 预览版发布:Apple ID 引入物理安全密钥
IT之家 1 月 19 日消息,苹果今日向 Mac 电脑用户推送了 macOS 13.2 RC 更新(内部版本号:22D49),本次更新距离上次发布隔了 42 天。用户可通过安装描述文件等下载 Beta 测试版,即可通过系统设置中的软件更新机制获得新系统版本。IT之家了解到,macOS Ventura 13.2 更新引入了对 Apple ID 安全密钥的支持,允许用户使用物理硬件而不是数字设备代码来验证他们的身份。安全密钥为 Apple ID 提供额外保护,在登录新设备、登录 iCloud、使用 Apple Store 等时取代辅助设备上提供的当前验证码。苹果关于更新的完整发行说明如下。
高途、考虫、极光单词等29款APP被通报整改下架!
据工业和信息化部官微“工信微报”,依据相关法律法规,北京市通信管理局持续开展 App 隐私合规和网络数据安全专项整治。通报中存在侵害用户权益和安全隐患等问题的29款 App。从通报名单来看,高途、考虫、学宝等21款 App 存在不同类型问题,涉及未明示收集使用个人信息的目的、方式和范围,以及未经用户同意收集使用个人信息等问题;大掌门2、跳跃忍者、浪漫庄园等将被下架处置,涉及账号注销难、未经用户同意收集使用个人信息等问题。
发布时间:2023-01-18 13:21 |
阅读:295017 | 评论:0 |
标签:app
使用小黄鸟(HttpCanary)+模拟器(VMOS Pro)对手机APP进行抓包 - 姚小丹
最近接触app开发,苦于app端不能像网页端可以F12看请求信息,对于后端来说当接口出现异常却不能拿到请求参数是很苦恼的,因为之前了解过逍遥模拟器,先使用了模拟器对appj进行抓包,但发现这一款app在模拟器上面卡的很,根本玩不转。后面找到了一个可以在手机上直接抓包的工具——httpcanary(小黄鸟)。起初我使用的是一个比较老一点的安卓机(安卓机A),版本低,直接安装了小黄鸟,跟着小黄鸟上面的提示安装好对应的证书就可以直接抓包。
应用商店因未尽审核义务被判赔,其审查管理App界限在哪?
当下,从应用商店下载进而使用App已成为几乎每个用户在获得智能手机后的第一选择。不过,由于普通用户缺乏检测、辨别App的专业能力,管理和审核的责任就落在了应用商店身上。那么,应用商店应对上架App承担哪些审查和管理义务?1月13日,北京互联网法院(下称“北互”)官微披露了一起应用市场因未尽App审查义务而被判帮助侵权的案例。原告公司在被告运营的应用市场中被冒名注册了某贷款App,并因该App存在商标侵权事由被判令承担侵权责任。法院查明,系应用市场未尽到对App的审核义务,构成帮助侵权,被判向原告进行赔偿。
发布时间:2023-01-14 00:22 |
阅读:419387 | 评论:0 |
标签:app
利用APP通讯录发现进行社交信息获取
APP启用通讯录发现在一些APP中,APP会向用户申请权限,通过读取通讯录自动添加对方为好友。利用这一点,我们可以将获取到的手机号保存在手机通讯录中,然后打开各种app授权进行通讯录发现,如果这个手机号绑定了该APP,则可以获取其对应社交账号,从该账号的使用痕迹中获取更多信息。当然这个方法很多大佬都知道。所以这里只简单分享下,如何获取更多存在“通讯录发现”功能的APP。这个思路不局限于此处,也可以用在其他方向的信息收集。以百度为例,其余搜索引擎同理第一次搜索核心关键字:“启用通讯录” 通常对于搜索出的页面,看个1-2页即可。对于这个页面我们可以得到3个APP存在“通讯录发现” 功能。
发布时间:2023-01-13 00:27 |
阅读:437635 | 评论:0 |
标签:app
买车报价APP sign分析
本文为看雪论坛优秀文章看雪论坛作者ID:那年没下雪1、charles抓包图很明显这里面要分析的就是这个p_sign,那么直接把APK扔jadx看看,果然没那么简单加壳了还是某数字企业壳,这下难度增高了、这里省略脱壳的步骤。数字企业壳懂得都懂不可能全部脱下来的只能用哪些类就脱哪些了,略微麻烦点。2、寻找sign如何生成的这里直接通过p_sign是很难搜索到对应代码块的,这里大概尝试了N种方法都没有找到有价值的信息。想着通过url的地址去找对应的发请求的位置是不是可以,于是通过搜索url路径找到了一个类。
CVE-2022-20452 的漏洞利用代码。可通过 LazyValue 将已安装的恶意 APP 提权至系统 APP
Android 13 introduces many enhancements in order to harden Parcel serialization mechanismHere's presentation from Android Security and Privacy team on enhancements madeThat is great, definitely elimin
网信普法 | 手机app弹窗关不掉?政策监管有新招
移动互联时代,即时通讯、网络视频、在线购物、新闻资讯等各类移动互联网应用程序(APP)在快速发展的同时也滋生了种种乱象。近日,有关部门接连出台相关举措,开展专项行动、印发联合通告,为APP领域的健康规范发展加码发力。APP领域乱象时有发生关不掉的弹窗广告、山寨APP以假乱真、未经同意强制捆绑下载、难以卸载的预置程序……眼下,APP领域乱象严重影响了用户体验。弹窗广告是用户遭遇的普遍问题。“APP投放广告本身没问题,但现在打开APP都不敢动手机,因为有时候稍不注意晃一下手机,就跳进了‘摇一摇’广告。”网友“小花一朵”说。此外,有些APP页面里“关不掉”的广告也实在令人糟心。
网信普法 | 手机app弹窗关不掉?政策监管有新招
移动互联时代,即时通讯、网络视频、在线购物、新闻资讯等各类移动互联网应用程序(APP)在快速发展的同时也滋生了种种乱象。近日,有关部门接连出台相关举措,开展专项行动、印发联合通告,为APP领域的健康规范发展加码发力。APP领域乱象时有发生关不掉的弹窗广告、山寨APP以假乱真、未经同意强制捆绑下载、难以卸载的预置程序……眼下,APP领域乱象严重影响了用户体验。弹窗广告是用户遭遇的普遍问题。“APP投放广告本身没问题,但现在打开APP都不敢动手机,因为有时候稍不注意晃一下手机,就跳进了‘摇一摇’广告。”网友“小花一朵”说。此外,有些APP页面里“关不掉”的广告也实在令人糟心。
real world ctf 2023 HappyFactory and realwrap
HappyFactory0x01 Intro题目的漏洞倒是不难,考察了变版的UniswapV2倒是有一处卡了好久。。。等下分析题目时说一下0x02 CodeClick to see more题目合约:其余部分
Real World CTF 2023: Happy-Card Writeup
Real World CTF 2023 was a jeopardy-style capture-the-flag event. We participated as part of the Sauercloud CTF-team.How Solve? Where Exploit?Google for java card stuffFind some usable tooling to b
WhatsApp推出代理支持,帮助用户绕过互联网审查
日前,即时通讯服务 WhatsApp 在其最新版本的 Android 和 iOS 应用中推出了对代理服务器的支持,让用户绕过政府强制的审查和互联网关闭。这款消息服务应用由meta (Facebook的母公司)所有,人们可以通过代理服务器配置这款应用程序来访问互联网。代理服务器是用户和互联网服务之间的中介,可以帮助隐藏流量,避免控制。(用户将不得不研究自己的代理服务器,其中许多是由世界各地的志愿者和组织免费提供的。
APP测试中遇到的一些加密问题
案例一:Java层存在硬编码密钥
反编译apk,在包com.xxx.xxxx.utils中泄露加密key,同时可知加密方式为AES/ECB/PKCS5Padding
对登录请求数据包中,使用加密key进行
Android App半自动化静态漏洞挖掘技术分析
更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)目 录一、前言二、Android App漏洞扫描的难点三、个人扫描器和商业化漏洞扫描器的区别四、半自动化和自动化漏洞扫描的区别五、基于文本匹配的半自动化静态漏洞扫描器介绍及优化六、基于静态污点分析的半自动化漏洞扫描器介绍及优化七、研究经验总结八、未来优化方向一、前 言在Android应用层安全研究领域,研究人员大多采用人工审计加脚本的方式进行漏洞挖掘。针对某个新的攻击面,对手机厂商上千款的预置App开展批量的漏洞挖掘时,短时间内很难产出结果,漏洞挖掘效率低。
手机APP弹窗关不掉?加力整治!
扫码订阅《中国信息安全》邮发代号 2-786征订热线:010-82341063移动互联时代,即时通讯、网络视频、在线购物、新闻资讯等各类移动互联网应用程序(APP)在快速发展的同时也滋生了种种乱象。近日,有关部门接连出台相关举措,开展专项行动、印发联合通告,为APP领域的健康规范发展加码发力。APP领域乱象时有发生关不掉的弹窗广告、山寨APP以假乱真、未经同意强制捆绑下载、难以卸载的预置程序……眼下,APP领域乱象严重影响了用户体验。弹窗广告是用户遭遇的普遍问题。“APP投放广告本身没问题,但现在打开APP都不敢动手机,因为有时候稍不注意晃一下手机,就跳进了‘摇一摇’广告。
通过中国信通院评测!梆梆安全入围 “APP用户权益保护测试能力验证计划”
近日,中国信息通信研究院(以下简称“中国信通院”)泰尔终端实验室依据ISO/IEC 17043:2010《能力验证提供者能力的要求》(CNAS-CL03《能力验证提供者认可准则》)对全国主要APP个人信息保护检测机构的检测能力进行了考核评估,发布了通过“移动互联网应用程序(APP)用户权益保护测试能力验证计划”的检测机构名单。梆梆安全在移动互联网应用程序领域的样品处理、数据处理及结果报告等实测项均达到合格标准,成功通过中国信通院评测,行业检测能力和服务水平等综合实力再获认可。
浅谈APP的隐私合规检测
理论基础国家为了加强用户个人信息保护,为人民群众提供更安全、更健康、更干净的信息环境,国家工业和信息化部开展了《纵深推进APP侵害用户权益专项整治行动》以及《App违法违规收集使用个人信息行为认定方法》 《常见类型移动互联网应用程序必要个人信息范围规定》的通知,在APP合规上都需严格按照国家工业和信息化部164号文件自查自纠,及时整改APP违规问题。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
🙇🧎¥由自富财,长成起一↓
