SSL/TLS协议安全系列- SSL中间人攻击防范方案概述

0x00 简述

基于PKI体系的SSL/TLS协议近年来暴出很多安全问题,比如著名的HeartBleed、POODLE攻击和Freak攻击等,2014年关于SSL/TLS协议证书验证问题的CVE有成千个。针对SSL协议在实现中暴露出的各种问题,这里我们讨论一下现有的加固和防范方案,主要包括四个方面:

a) Key pinning策略
b) HSTS策略
c) 多路径证书检查策略
d) DNS-based authentication

下面我们基于这四个策略做详细介绍。

0x01 Key Pinning策略

1、 Key Pinning介绍

Pi[……]

MORE

MWR实验室公布Android系统0day漏洞可绕过Android沙箱

谷歌真是风波不断——近期,MWR实验室的研究人员又发现一个0day漏洞。这个漏洞存在于安卓系统中Google Admin应用程序处理一些URL的方式中,攻击者甚至可以通过这个漏洞绕过沙箱机制。MWR实验室在报告中提到了该漏洞原理:当Google Admin应用程序接收到一个URL,并且该URL是通过同一设备上任何其他应用的IPC调用接收时,Admin程序会将这个URL加载到它活动内的 Webview中。这时若攻击者使用一个file:// URL链接到他们所控制的文件,那么就可以使用符号链接绕过同源策略,并接收到Admin沙箱中的数据。

据悉,MWR实验室在今年3月就向[……]

MORE

让你的手机无法接发短信!安卓再爆两个短信拒绝服务/伪造状态漏洞,影响所有Android版本

趋势科技日前再次发现两个有关Android系统自带短信应用的漏洞,第一个漏洞(CVE-2015-3839)可能允许攻击者插入恶意消息到系统短信箱中导致其崩溃,造成用户无法发送和接收短信,第二个漏洞(CVE-2015-3840)可以伪造短信的发送和接收状态,可能导致用户重复发送短信增加话费。不同于之前的Android Stagefright和Mediaserver组件漏洞,新漏洞瞄准的是Android系统的短信应用。这两个漏洞影响Android系统所有版本,包获最新Android5.1.1(仅影响Android原生系统的短信应用,不包获第三方短信应用)。目前谷歌表示已经正在修复这两个漏洞,同时给[……]

MORE

你的指纹还安全吗? – BlackHat 2015 黑帽大会总结 day 2

0x00 序

今天是Black Hat 2015第二天,第一天的大会总结请参考:

看黑客如何远程黑掉一辆汽车 – BlackHat 2015 黑帽大会总结 day 1

0x01 TRUSTKIT: CODE INJECTION ON IOS 8 FOR THE GREATER GOOD

本来打算去听shendi的TrustZone crack的talk,但是因为shendi的visa没有办下来,最后就给cancel了。于是去听了这个iOS injection的talk。

Talk首先介绍说在iOS 8之前是不允许动态加载library的,只允许静态编译[……]

MORE

看黑客如何远程黑掉一辆汽车 – BlackHat 2015 黑帽大会总结 day 1

0x00 序

今天是Black Hat 2015第一天,九点钟开场。开场介绍是由Black Hat创始人Jeff Moss讲的。随后又请来了Stanford law school的Jennifer Granickz做了keynote speech。

enter image description here

随后就开始Black Hat的正会了,因为Black Hat是9个分会场同时进行,所以我们只能挑一些比较感兴趣的演讲去听。

0x01 ANDROID SECURITY STATE OF THE UNION

enter image description here

这个talk的演讲者是Google Android security team的leader[……]

MORE

安卓曝大漏洞:一条彩信可控制手机,影响95%设备

以色列移动信息安全公司 Zimperium 研究人员 Joshua Drake 在 Android 系统中发现了多处安全漏洞,Android 2.2到5.1的所有版本上均存在此漏洞,预计会有95%的Android设备受到影响。只需简单的一条彩信,黑客就可能完全控制用户手机。

“安卓滴血”

漏洞发现于原生的 Android 的 Stagefight 媒体库上,堪称移动世界的“心脏滴血”。几乎所有 Android 设备都含有此安全问题,攻击者会向那些没有安装补丁的用户发动针对性攻击,受害者的隐私、数据将会暴露在风险之中。

这些截图是Nexus5(最新版本),5[……]

MORE

人手一份核武器 – Hacking Team 泄露(开源)资料导览手册

0x00 序

事先声明本人并不是全栈安全工程师,仅仅是移动安全小菜一枚,所以对泄漏资料的分析难免会有疏忽或着错误,望各位围观的大侠手下留情。

首先来看安全界元老对Hacking Team(以下简称HT)被黑这个事件的看法:

@tombkeeper: Stuxnet 让公众知道:“原来真有这种事”,Snowden 让公众知道:“原来这种事这么多”,Hacking Team 让公众知道:“原来这种事都正经当买卖干了”。

@赵武在路上: 2011年的时候,HBGray被黑,很多人没有意识到意味着什么,因为跟国家安全相关。这两天Hacking team被黑,大家也没有意[……]

MORE

墨贝科技发布《2015年银行移动应用安全性调查报告》

1. 前言

继银行卡支付,网上支付(PC 端)之后,中国消费者已快速进入了移动支付时 代。据 CNNIC 发布的《第 33 次中国互联网络发展状况统计报告》数据显示:截至 2013 年 12 月,我国手机网民规模达 5 亿,较 2012 年底增加 8009 万人;手机支付用户规模达到 1.25 亿,同比增长了 126.9%,占手机网民总量的 25.1%。可见,手机支付用户的增长速度 远远高于手机网民规模的增长速度。移动支付的时代已经到来,与此同时,移动安全上的 隐患和威胁也被放大。

对银行业来说,为强化移动银行的安全环境,可以通过开展多样化的安全检测来实 现风险防控[……]

MORE

计算机安全会议(学术界)概念普及 & ASIACCS2015会议总结(移动安全部分)

0x00 序

ASIACCS 2015 全称为10th ACM Symposium on Information, Computer and Communications Security。因为ASIACCS在ACM还有个兄弟会议叫CCS (ACM Conference on Computer and Communications Security), 又因为会议举办地点几乎都在亚洲,于是缩写就变成了ASIACCS。今年的会议一共有269篇paper投稿,48篇被accepted,中稿率为18%。

在讨论会议内容前,我先简单科普一下计算机安全领域会议的一些基本概念(学术界大[……]

MORE

E安全App v2.1 更新发布

E安全App由中国信息安全测评中心和安恒信息联合开发。这是一款基于信息安全移动课程教学、信息安全资料分享、威胁预警推送和信息安全实时资讯传播的移动应用软件。E安全以“人人都是安全专家”为主题,透过移动互联网,帮助安全从业人员和安全技术爱好者随时在线学习信息安全技术课程,满足多层次的信息安全移动在线培训需求。同时用户还可以及时获取各类安全威胁预警和全球最新安全动态,实现为信息安全专业人才的成长提供一个更为便捷和高效的平台,未来CISP继续教育等也会放到这个平台上。

E安全官网地址:http://www.easyaq.com/

  虽然网络与信息安全的从业者越来越多,线上、线下的活动也越来[……]

MORE