1: https://e.crashlytics.com:443 2: https://settings.crashlytics.com:443 3: https://app.adjust.io:443 4: https://cn-dc1.uber.com:443 5: https://cn-pek …
XCode编译器里有鬼 – XCodeGhost样本分析XCode编译器里有鬼 – XCodeGhost样本分析

作者: 蒸米,迅迪 @阿里移动安全 0x00 序 事情的起因是@唐巧_boy在微博上发了一条微博说到:一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码,会向一个网站上传数据,目前已知两个知名的 App 被注入。 随后很多留言的小伙伴们纷纷表示中招,@谁敢 …

最近在折腾 HPKP ,总结一下 介绍 HPKP 简单说就是在 HTTP 头中定义一组 Base64 编码的 SPKI 指纹,在支持 HPKP 的浏览器中,浏览器会先对比 HTTP 头中的 SPKI 指纹与当前证书的的实际指纹,从而可以一定程度上防止伪造证书的中间人攻击,更多请参考 https:// …

NTP放大攻击其实就是DDoS的一种。通过NTP服务器,可以把很小的请求变成很大的响应,这些响应可以直接指向到受害者的电脑。下面是python实现脚本,脚本只供测试和学习。 masscan是一个快速的端口扫描器 1.安装masscan https://github.com/robertdavidgr …

POODLE = Padding Oracle On Downgraded Legacy Encryption 首先, 这是一个迟来的命名,但安全问题仍然可怕。最新的安全漏洞 (CVE­-2014-3566) 代号是 POODLE, 这是一个缩写,按照上面的标题有实际的意义吗? 这个漏洞和之前的 B …
攻击OpenSSL DTLS : CVE-2014-0195的分析与利用攻击OpenSSL DTLS : CVE-2014-0195的分析与利用

作者:AntBean1988 时间:2014-06-20 今年Openssl爆发了一次心脏滴血。该漏洞的原理大家应该已经知道了。就是openssl的api在处理heartbeat协议的时候,未对传入的协议中的长度进行校验,导致可以读随机的最长可至64K的内存信息。该漏洞影响广泛,百度安全中心也提供了 …