E安全App v2.1 更新发布

E安全App由中国信息安全测评中心和安恒信息联合开发。这是一款基于信息安全移动课程教学、信息安全资料分享、威胁预警推送和信息安全实时资讯传播的移动应用软件。E安全以“人人都是安全专家”为主题,透过移动互联网,帮助安全从业人员和安全技术爱好者随时在线学习信息安全技术课程,满足多层次的信息安全移动在线培训需求。同时用户还可以及时获取各类安全威胁预警和全球最新安全动态,实现为信息安全专业人才的成长提供一个更为便捷和高效的平台,未来CISP继续教育等也会放到这个平台上。

E安全官网地址:http://www.easyaq.com/

  虽然网络与信息安全的从业者越来越多,线上、线下的活动也越来越多,但到目前为止,还没有一款真正面向信息安全专业学生、从业者、爱好者的手机App软件。“E安全”,[……]

MORE

谷歌发布2014年Android系统安全回顾报告

  我们一直致力于为Android的用户及开发者提供安全的系统环境。过去我们针对Android系统所做的一切都是为了实现这一目标——不论是Android平台本身,还是Google提供的Android相关服务,都已经拥有多重安全防护功能。除传统的加密和应用沙盒防护措施以外,我们的多重安全防护还采用了自动及手动系统检测,以保证系统不受恶意软件、钓鱼软件、网络欺诈以及垃圾邮件的侵害。

  Android应用开发平台的安全模型是以强大的应用沙盒功能为基础的。除此之外,我们还应用各项数据,通过组合多种可靠产品及服务,如Google Play以及Verify Apps(授权应用),即时提升系统的安全性。而且,由于Android是一个开放平台,第三方研究和报告也有助于帮助我们强化系统的安全系数。

 [……]

MORE

2015移动安全挑战赛(阿里&看雪主办)全程回顾

第一题

0x1 分析

APK界面

题目下载

本次比赛的第一个题目是一个APK文件,安装后,需要用户输入特定的密码,输入正确会显示破解成功。该题目的APK文件没有太多的保护,可以直接使用各种分析工具(如jeb等)反编译得到Java代码。

获得正确注册码的代码逻辑为: 1. 从logo.png这张图片的偏移89473处,读取一个映射表,768字节编码成UTF-8,即256个中文表 2. 从偏移91265处读取18个字节编码的UTF-8(即6个中文字符)为最终比较的密码。然后通过输入的字符的转换,转换规则就是ASCII字符编码,去比较是否和最终密码相等。

0x2 巧妙的解法

我们在这里提供一种非常愉快的解法,不需要复杂的工具和分析,大家可以参见视频

打开a[……]

MORE

Android Installer Hijacking漏洞可被恶意软件利用影响用户安全

    日前国外安全公司Palo Alto公布了其去年1月发现的一个谷歌Android系统中存在的一处安全漏洞,该漏洞被称之为“Android Installer Hijacking”,影响当前45.9%的安卓系统用户,该漏洞允许攻击者在用户不知情的情况将用户将要安装的APK修改或替换为恶意应用的APK安装包,此漏洞暂时只影响那些使用第三方应用市场的用户,通过此漏洞恶意应用可以获得用户系统的完整权限,可造成用户名,密码及敏感信息泄露,目前Palo Alto已经携手Google通知其主要的客户公司(如三星,Amazon等)漏洞详情,以尽早修复该漏洞。

目前Palo Alto公司已经公布了该漏洞的检测工具,以便用户检测自己的手机是否受到漏洞影响:

https://play.google.co[……]

MORE

一条短信控制你的手机! Android平台的SQL注入漏洞浅析

0x0前言

 

14年11月笔者在百度xteam博客中看到其公开了此前报告给Google的CVE-2014-8507漏洞细节——系统代码在处理经由短信承载的WAP推送内容时产生的经典SQL注入漏洞,影响Android 5.0以下的系统。于是对这个漏洞产生了兴趣,想深入分析看看该漏洞的危害,以及是否能够通过一条短信来制作攻击PoC。

在断断续续的研究过程中,笔者发现了SQLite的一些安全特性演变和短信漏洞利用细节,本着技术探讨和共同进步的原则,结合以前掌握的SQLite安全知识一同整理分享出来,同各位安全专家一起探讨Android平台中SQLite的安全性,如有错误之处,也请大家斧正。

 

0x1起:食之无味,弃之可惜

 [……]

MORE

《安卓安全攻防权威指南》目录(附部分章节预览)

前言

    信息安全与大多数领域一样,都是从家庭式手工作坊[……]

MORE

Fiddler插件编写之WebView远程代码执行检测

点评:有关通过中间人攻击测试Android客户端应用Webview远程代码执行的案例很多,往常都是通过抓包工具修改Response来检测应用是否存在漏洞,但来自@360捉虫猎手 的Sniperhg通过编写Fiddler插件给我们提供一个更方便的测试思路~

一、Fiddler介绍

Fiddler是最强大最好用的Web调试工具之一,它能记录所有客户端和服务器的http和https请求,允许你监视,设置断点,甚至修改输入输出数据,Fiddler包含了一个强大的基于事件脚本的子系统,并且能使用.net语言进行扩展。你对HTTP 协议越了解, 你就能越掌握Fiddler的使用方法. 你越使用Fiddler,就越能帮助你了解HTTP协议.Fiddler无论对开发人员或者测试人员来说,都是非常有用的工[……]

MORE

Android Hacker’s Handbook中文版即将上市

年度最期待的安卓安全书-Android Hacker’s Handbook中译本《Android安全攻防权威指南》即将上市,敬请期待,本站将在上市后第一时间购买,同时与大家分享心得~

书  号
978-7-115-38570-3

出版日期
2015-03月底

页  数
394

定  价
89.00 元

状  态
正在印制

印刷方式
黑白

类  别
android 黑客 安全 Android开发

1378.611.big

“本书的主要作者是在信息安全领域浸淫多年的一流专家,三位译者也都在技术一线耕耘多年并各有卓越成就。这种全明星阵容让我对本书充满期待。”
——于旸(tombkeeper),[……]

MORE

Android UXSS阶段性小结及自动化测试

0x00 科普

WebView(网络视图)android中加载显示网页的重要组件,可以将其视为一个浏览器。在kitkat(android 4.4)以前使用WebKit渲染引擎加载显示网页,在kitkat之后使用谷歌自家内核chromium。

Uxss(Universal Cross-Site Scripting通用型XSS)UXSS是一种利用浏览器或者浏览器扩展漏洞来制造产生XSS的条件并执行代码的一种攻击类型。可以到达浏览器全局远程执行命令、绕过同源策略、窃取用户资料以及劫持用户的严重危害。

同源策略所谓同源是指,域名,协议,端口相同,浏览器或者浏览器扩展共同遵循的安全策略。详见:http://drops.wooyun.org/tips/151

0x01 事件

[……]

MORE