上个月,上海警方抓捕了一个利用网上银行漏洞非法获利的犯罪团伙,该团伙利用银行App漏洞非法获利2800多万元. 据悉,该团伙使用技术软件成倍放大定期存单金额,从而非法获利.理财邦的一篇文章分析了犯罪嫌疑人的手段:"犯罪嫌疑人马某利用了银行App中质押贷款业务的安全漏洞,借用他人存单办理了存单质押贷款." 从这里来看,银行的漏洞应该是两方面,一方面是储户的账户信息被泄露了,另一方面则是业务上的漏洞,即质押贷款上让犯罪嫌疑人钻了空子,得以利用泄露的储户信息套现. 后续的报道印证了这个判断,…

移动APP漏洞自动化检测平台建设   前言:本文是<移动APP客户端安全笔记>系列原创文章中的第一篇,主要讲的是企业移动APP自动化漏洞检测平台建设,移动APP漏洞检测发展史与前沿技术,APP漏洞检测工具与平台,以及笔者的一些思考.希望能对移动App自动化漏洞检测感兴趣的同学有所帮助,限于笔者技术水平与文章篇幅,有些内容暂没有逐一详细分析,后续我争取多学习多分享,在此也欢迎大家指点和交流. 一.国内Android App漏洞检测发展简史 1.1石器时代 (2007-2011) 2007年11年…

阿里云·云栖社区携手阿里聚安全打造阿里安全技术公开课,带你一探互联网安全的风采 关于移动APP安全 移动App是大家使用手机每天接触最多的东西,然而在移动APP开发中,由于一些开发工程师对安全的不重视,导致APP中出现漏洞风险,比如App被逆向.重打包,数据在存储或传输过程中泄露,系统漏洞被利用,逻辑漏洞被绕过等等,本课程,阿里安全专家阿刻为你解读移动App安全那些事. 讲师:阿刻 阿里聚安全无线技术专家 课程简介 本课程主要介绍移动APP漏洞风险的现状,比如APP破解.盗版.重打包,一些APP…

一.前言 目前在业界有很多自动化检测APP安全性的在线扫描平台.为了了解目前国内移动APP在线漏洞扫描平台的发展情况,我进行了一次移动安全扫描平台的评测分析:主要从漏洞项对比.扫描能力对比以及扫描结果这三个方向来对比. 希望此次的调研结果可以为读者提供更加可靠的安全漏洞扫描服务建议. 二.分析对象 这一章主要介绍需要对比的扫描平台和需要测试的APP样本. 2.1 对比平台 扫描平台 网址 阿里聚安全漏洞扫描 http://jaq.alibaba.com/ 360APP漏洞扫描 http://de…

概述 上一次分享了应用加固的评测后,很多人想看看漏洞扫描相关的对比数据.其实在选择市面上这些移动安全类的产品时,经常为各种复杂的数据而感到疑惑,不知道怎么来评判各自的性能以及价格,从而选择出一款性价比高的安全产品.那么这一篇文章我就先来比较一下市场中现有产品的服务和收费情况. 国内app漏洞扫描平台,以及它们的收费状况,大致可以将其分成3类: 第一类:漏洞扫描收费平台 代表:百度开放云平台(9.9元一次).阿里云移动安全(专业版可包年或按次收费) 第二类:漏洞扫描免费,通过漏洞扫描推其他服务 代…

蓝牙App漏洞系列分析之一CVE-2017-0601 0x01 概要 2017年5月的 Android 安全公告修复了我们提交的一个蓝牙提权中危漏洞,这个漏洞尽管简单,但比较有意思,能够使本地恶意 App 绕过用户交互,使用户强制接收外部传入的蓝牙文件.漏洞概要如下: CVE: CVE-2017-0601 BugID: A-35258579 严重性: 中 影响的 Google 设备: All Updated AOSP versions: 7.0, 7.1.1, 7.1.2 0x02 漏洞分析 蓝…

蓝牙App漏洞系列分析之三CVE-2017-0645 0x01 漏洞简介 Android 6月的安全公告,同时还修复了我们发现的一个蓝牙 App 提权中危漏洞,该漏洞允许手机本地无权限的恶意程序构造一个仿冒的 Provider ,并获取 Provider 所指向文件的读写权限,可用于写 SD 卡或者蓝牙共享数据库,漏洞详情如下: CVE: CVE-2017-0645 BugID: A-35310991 严重性: 中危 漏洞类型: 提权 Updated AOSP versions: 6.0.1,…

APP漏洞扫描用地址空间随机化 前言 我们在前文<APP漏洞扫描器之本地拒绝服务检测详解>了解到阿里聚安全漏洞扫描器有一项静态分析加动态模糊测试的方法来检测的功能,并详细的介绍了它在针对本地拒绝服务的检测方法. 同时,阿里聚漏洞扫描器有一个检测项叫未使用地址空间随机化技术, 该检测项会分析APP中包含的ELF文件判断它们是否使用了该项技术.如果APP中存在该项漏洞则会降低缓冲区溢出攻击的门槛. 本文主要介绍该项技术的原理和扫描器的检测方法.由于PIE的实现细节较复杂,本文只是介绍了大致的原理.…

APP漏洞扫描器之本地拒绝服务检测详解 阿里聚安全的Android应用漏洞扫描器有一个检测项是本地拒绝服务漏洞的检测,采用的是静态分析加动态模糊测试的方法来检测,检测结果准确全面.本文将讲一下应用漏洞扫描器在针对本地拒绝服务的检测方法. 一.本地拒绝服务产生原因和影响 Android应用使用Intent机制在组件之间传递数据,如果应用在使用getIntent(),getAction(),Intent.getXXXExtra()获取到空数据.异常或者畸形数据时没有进行异常捕获,应用就会发生Cras…

怎样利用App打造自明星实现自盈利 1.了解各个概念       为了大家都能看懂这篇文章,先说明几个概念.        App(Application):能够在移动设备上使用,满足人们咨询.购物.社交.娱乐.搜索等需求的一切应用程序.        自媒体:说白了,媒体就是一个传播渠道,传播思想也好,传播信息也罢,总之是一个渠道.        自明星:个人通过自媒体成为让大众熟知的某个领域的名人.        自盈利:就是个人通过自媒体.自明星.自电商达到盈利的目的.        从A…