最近发现某款打车软件的APK非常的火,并听说他们进行了非常严密的防护,防止用户进行二次打包。今天我们来分析一下他的安全性到底如何。 经过严密的分析发现:该打车APP(司机版)主要的防护在两个地方 第一...
移动安全
移动安全
逆向工程
玩坏漏洞:让CVE-2014-4113成功溢出Win8
1、简介 在2014年10月14日的时候,Crowdstrike和FireEye发表了一篇文章,描述了一个新的针对Windows的提权漏洞。Crowdstrike的文章表明:这一新漏洞是在追踪一个高度...
硬件安全
论如何优雅地蹭饭:克隆篡改公司饭卡(M1卡)
最近借了Proxmark3来娱乐性的玩下RFID技术,工资甚低的我只好拿公司饭卡实验,优雅地蹭几顿。物业大叔表打我啊!以下操作纯属学习目的,初学难免错误较多,望斧正。 首先了解M1卡的结构:请...
WEB安全
如何使用WappalyzerAPI进行Web应用指纹识别
Web应用指纹识别,是web渗透信息收集最关键的一步,这方面开源的工具也非常多,像BlindElephant,whatweb 以及在非安全圈都很火的wappalyzer。本文主要描述如何使用...
网络安全
旧瓶装新酒:GoogleDrive是如何被用于钓鱼攻击的
黑客们的目标正在逐渐瞄准那些云存储服务,比如谷歌云端存储(GoogleDrive)。几天前,趋势科技的安全研究人员就发现了一个盗取用户敏感账户信息的钓鱼攻击活动。在这次的钓鱼事件中,攻击者精心制作了一...
漏洞分享
资料汇总:WgetFTP软链接攻击漏洞(CVE-2014-4877)
Wget是一款从用于从网络上下载文件的开源工具,使用非常广泛。然而现在,它却出现了一个严重的安全漏洞:当Wget向FTP服务器请求递归目录时,存在一个关于软链接的漏洞,它将允许黑客任意创建文件、目录或...
WEB安全
如何为WordPress做安全防护?
最近看了infosec出品的<<ProtectingWordPressInstallationsinanIaaSEnvironment》,决定给裸奔的wordpress做做安全加固。 wo...
网络安全
勒索软件CoinVault:拿钱来,给你一个恢复文件的权限
之前FreeBuf曾向大家介绍过CryptoLocker,Critroni,PowerLocker等勒索木马,这些木马会通过加密锁定被感染的计算机,要求受害者支付赎金后才能返还控制权,否则你硬盘里的文...
漏洞分享
沙虫漏洞(CVE-2014-4114)利用测试方法
本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! 漏洞时间 2014年10月底 测试目标 装有office2007,office2013的机器。 漏洞...
移动安全
iOS平台个人网银APP的安全测试报告
几年来,我一直在从事有关个人网银APP的安全性研究。在这份报告中,我使用了黑盒和静态分析的方法,对全球最具影响力的四十个iPhone/ipad网银APP进行了安全测试。 以下国家的个人网银APP被纳入...
