如何狙击凶险的 App 漏洞 转账给张三 钱却被李四收到 (如何狙击凶险敌人)
这是怎么回事?
是的,很遗憾,你可能给别人充值了。但是,叫天天不应,叫地地不灵,运营商也没收到你这笔钱。
专注移动应用安全的娜迦信息公司 CTO阎文斌(花名:玩命)告诉正在阅读的读者你,不要不相信,这是最近一年来支付、游戏行业 App 最常见的 bug 。
【阎文斌在2017中国移动支付年会上】
一款 App 如何安全地来到你面前
这是支付行业最敏感的地带,在 2017 移动支付年会的演讲中,他没好意思当众揭伤疤,只好在采访中和雷锋网提出了这一现象。
除了上面这种和人们息息相关的漏洞。在游戏行业,有些可以使用虚拟金币的游戏 App,在程序设计时被预留了一些接口,这些接口一旦被黑客发现,就可以做外挂、刷金币。
只要你敢把自家的App 拿给玩命试一试,在网络安全江湖闯荡近 10 年,曾担任 2008 奥运会网络安全技术顾问的他就敢开干,攻下你家看似严丝密合的“堡垒”。
玩命太了解 App 的薄弱地带了,正因为太了解攻击手段,所以他才想要研究如何给App穿上铠甲,走向明枪暗箭的战场 。
在一款App 正式上战场前,玩命和他技术团队会先对App 进行一次“全面体检”,就像入职一家新公司,你需要交一份体检报告,只不过玩命做的并非提交体检报告,而是在App 要被相关机构检阅,能提交合格的体检报告前先为 App 查漏补缺;或者在一款App 版本迭代时,实时跟进检测,充当忠实的卫兵。
玩命采用静态和动态相结合方式针对客户端App进行分析。
静态分析就像解剖,研究App 的程序编写是否规范,审核相应权限,它也像新手学车,先在驾校操练,没有面对车水马龙、真枪实弹的环境。
对玩命而言,动态分析才是“练车”的关键: 把App 放在电脑虚拟机和真实手机两个环境中“演练”,考察是否其是否能在真实的环境中正常运行,安全通信。
但是,动态分析会消耗极大的资源,因此,对玩命而言,目前大量开展的还是利用自家服务器进行线下部署。
除了让 App 能够以符合标准的姿态面对这个枪林弹雨的市场,对待一些银行、游戏领域的 App ,玩命还要为其加固,套上一层又一层的铠甲。
在 2016 年的XPwn 未来安全探索盛会上,一个黑客团队对国内 20 家银行提供给消费者的、基于安卓系统的 20 个手机银行 App 进行攻击, 发现 17 家银行的 App 存在漏洞,消费者的手机一旦被黑,无论转账给“张三”还是“李四”,在输入正确账号与密码的情况下,钱最终都会转给“王五”。
在该会议上,攻击者还表示,全国 90 %多的银行App都可被劫持,由此可见,互联网金融漏洞对用户造成影响。所以,当时会上专家建议厂商能够避免 App 中存在低级错误,重视产品加固,重视逻辑漏洞,不定时的进行渗透测试。
娜迦的官网上,雷锋网发现了近 20 种加固种类。 雷锋网宅客频道的编辑很疑惑:这么多服务项目,到底哪些才是玩命主推的项目?
玩命坦诚地告诉雷锋网,
用户为什么不接纳? 一是涉及到App 安全加固项目,尤其是金融类,服务对象相当谨慎;二是有些项目实在很难解释,就算是经过专业技术培训的销售人员,除非直接派出纯技术研发人员。
于是,很多不错的加固项目不得不在“性价比”下被舍弃。
玩命还有一个烦恼,自己是“出卖安全技术而生”,是一家安全技术公司,而非提倡“免费”的互联网公司。
玩命说,
”范畴。一个严峻的形势是,如果大家产品真的都“差不多”,压价怎么办?
在这种情况下,一些大型的互联网公司也有相应的提供安全服务的部门,他们不以此技术为生,可能仅服务自己的企业。
“把一个2B 的市场做成一个走量的市场,它 现在 肯定是畸形的。”玩命感叹。
玩命的实验
在玩命的烦恼下,有一个优势,他从未忘记过。
娜迦公司的创始人团队都是做技术出身,他们很了解安全研发或者检测人员自身的需求,虽然玩命多次强调,就这个领域而言,甚至称不上“市场”,只能说是小众的需求。
比如,一个成熟的 逆向人员平时工作量很大,技术要求高。而且,培养一名逆向人员的成本比开发人员高,有没有可能让初级的逆向人员能迅速做到和成熟逆向人员一样的事情?
玩命和团队成员试图为这部分人员研发一款辅助工具——自动逆向辅助工具。
一个白帽子分析一个目标,可能出于两种目的:
1.纯研究功能如何实现、支付规则等,但是原始的汇编代码实在太多,上千类别,一时间根本找不到要的东西,如何撇开无用的部分,找到最关键的线头?
2.找bug。一个逆向人员挖漏洞,从输入到结尾,数据流怎么走,支付发到服务器,要做哪些东西?如何找到一个关键点来修改?
虽然,这款工具还需要几个月才能上市,但玩命已经在娜迦内部开始试用,比如,在为某个客户服务防盗链时,玩命需要研究当前已经对该客户造成影响的 App。这次,应用自己研发出来的“武器”,他派出去“作战”的就可以是“经验不那么丰富的人”。
也许,这款看起来受众面不是那么大的工具,正是玩命的一块试验田,这个自认为“攻无不克”、攻击力极强的 CTO 相当了解他所属的这个人群需要什么,他的实验能否成功?未来娜迦是否还会按照这个思路走,研发出“打架、防御都不怕”,同时还能不让他这么烦恼“拼走量市场”的工具?值得期待。
原创文章,未经授权禁止转载。详情见 转载须知 。
英达汇(中国投资促进产业服务联盟),旨在为政府、企业、产业园区,搭建一个沟通、交流、合作的平台;更好的为政府、产业园区项目招商,企业投、融资等提供优质的服务;致力于推动中国区域的产业升级和经济高质量发展。
质子矩阵致力于工业自动化、信息化及数字化,以物联网、大数据、云原生、虚拟/增强现实和人工智能为代表的创新技术,深度融合工业生产,深耕智能制造,为企业提供优秀的控制与信息管理平台。
自动秒收录ZdmslCMS是一款免费收录分享优秀网址的网站导航,支持自动收录、自动审核、自动分类目录、获取图标、SEO信息、网站截图等等强大的功能,2024秒收录全新后台正式发布!
欢迎来到公司管理-教育培训-生活服务-文学艺术-天德导航网
517户外网,驴友的网上家园。在这里,找到趣味相投的驴友一起户外;在这里,找到精彩的活动体验不一样的人生。
马可波罗(www.makepolo.com)是全球最大、最专业、最精确的采购搜索引擎,是一家以采购需求为导向,通过深度数据挖掘匹配、人工智能干预筛选,使采购人员能在最短的时间内找到他们所需要的有价值信息。从而较大地提高了工作效率,使采购人员在最短的时间内以最低的成本,采购最好的产品及服务。
新锐信息拥有丰富一手短信通道、短信网关等运营商资源,为您提供专业的短信验证码,短信接口,短信群发,短信发送,短信服务,短信平台,106短信验证码,群发短信平台,移动短信平台,网络短信,国际短信,视频短信,5G消息平台,发短信软件等云通讯服务,验证码短信接口10分钟快速接入,短信,彩信,视频短信必选新锐短信!
银杏美术不仅提供专业的漫画学习模式,还提供京都精华大学和东京工艺大学的漫画科本科以及硕士研究生考试备考辅导和顾问服务。无论是想学日漫还是CG国漫都能在我们的漫画培训班中找到适合自己的学漫画方式。
江北区春来花卉苗木场为您提供丰富的绿植种植与养护知识。从日常护理到病虫害防治,涵盖多种植物的详细养护指南,帮助您轻松打造绿色家园。
最全电子书资源库:文史文学/古籍善本/诗词戏曲/书画篆刻/哲学宗教/玄易堪舆/琴棋茶花/政经军法/笔记小说/医学/刊期/建筑等,每天不定期更新。
平板电脑网提供好用的平板电脑资讯,智能平板电视,学习机哪个好?为广大网友提供的各种平板电脑资讯,更新受欢迎的平板电脑口碑评测,为广大用户购买平板电脑提供参考。
北辰荟/北辰中心物业租赁电话:010-84946887,北辰荟/北辰中心地址:北京市朝阳区北辰西路6号院,北京中轴线新地标国家会议中心二期的核心商业,地铁8号线和15号线交汇直达。北辰荟商业面积约5.5万㎡,以国际精品、首店、概念店、体验店为载体,将展现独特的商业理念和新鲜活力,打造以品质生活、休闲娱乐、文化购物、美食体验为主要业态的京北首选目的型购物中心,向世界展示中国前沿的商业价值,北辰荟,北辰中心为您提供关于广场出租信息,包括广场的出租面积、交通位置、日租金、价格、地图、楼盘参数、周边配套、租赁详情和物业等相关信息.
随着人们居住条件从村落变成了小区,传统的庭院变成了套房,这个过程中,装修有了发展,以前的院落因为经济条件不好很少会装修,而现在的套房,不装修几乎是不存在,铺地板砖、粉墙、吊顶几乎是必备的,这里粉墙很重要,谁不希望自己房子的墙面,表面光滑,无污染呢,为了安全美观起见,大部分的房主在装修中用的乳胶漆都会倾向选择知名品牌,房子毕竟一住就是很...。
现在人们生活水平不段提高,又是二胎政策,所以很多父母都想给孩子买好的,就拿儿童推车来说,不少父母就考虑给孩子买进口的推车,这样孩子坐起来即舒服又安全,那么,推车品牌很多,宝妈不知道儿童推车品牌哪个好,所以下面就来了解一下,好孩子每个孩子出生都需要用到小推车,因此小推车是宝妈必买的东西,所以市场需求量比较大,好孩子品牌自创立以来有29的...。
古建筑选择安装联网型WiFi独立式火灾报警器做到提早防范、提早知道,减少或避免火灾损失,智能wifi独立感探测器,是结合目前先进的互联网技术、云数据处理系统、大数据分析系统、消防APP软件以及多位在物联网行业有这研发经验的开发团队联合开发而成,与传统的火灾消防报警设备受限于有线网络铺设、消防主机的覆盖范围、信号的传送距离、分层管理、报...。
我国的卤食文化有着上千年的历史,尤其是鸭脖,在整个市场领域里,安全便捷营养,健康美味的创立种类,所形成的特色口感,形成了独特的市场经销优势,这与它制造酱料的全面搭配,以及特色手法的烹煮工艺,有着非常大的关系,现在已经成为众多创业者,看好的智慧之选项目,现在就来具体了解一下,谁加盟过鸭脖,鸭脖需要多少加盟费,现在进行鸭脖项目参与的智慧之...。
智能锁是区别于传统机械锁的创立产品,有着先进的科技技术,便捷的使用方式,现已应用到了银行、学校、别墅、宾馆等多个场景内,也逐渐成为了不少私人住户的优选,门锁对于家居安全来说格外重要,所以大部分人更信赖品牌产品,比如三星,那么三星智能锁怎么加盟呢,加盟需要多少钱,且听小编介绍,三星智能锁怎么加盟,三星智能锁是湖南思迈德科技有限公司管理的...。
2021年12月15日,京师通,学霸养成计划,项目说明会于中关村互联网教育中心圆满举办!本次说明会共有来自山东、西安、贵州等多个城市的20多位嘉宾参会,会议中,京师通总经理黄天鹏给嘉宾做了分享,黄总从大环境做了分析,并对学霸产品进行了深度的剖析,学霸养成计划,套装,北师大杨娟教授团队研发,为12,18岁中学生提供的一站式学习解决方案...。
在成人用品行业内部,性玩具及助情产品的市场规模常被估算为约20亿人民币,然而,根据市场分析,若不计入安全套等计生用品,中国成人用品市场的整体规模则高达约300亿人民币,这样的数据体系下,无人售货机产业顺应而生,并取得了诸多关注,那么无人售货机加盟需要多少成本,无人售货机发展红火运作于各地市场上,尽管难以准确获取中国情趣用品加盟市场的具...。
为了更好地服务各位合作伙伴,老师、学生及家长,京师通新官网于2022年初全新上线,京师通新官网在融合原网站部分内容的基础上,从栏目设计、版面设计、页面布局等方面都做了精心的调整与更新,从导航中的,学业规划,、,学业提升,栏目,您能收获学业规划、学业能力提升相关的政策动态和研究成果,以及京师通提供的产品服务,从导航中的,团队,、,师资培...。
餐饮市场上不断地涌现出不同的食品,虽然说这些东西都有自己的特色,但是有的产品没有提高,增加食品的安全,有的产品就会让消费人群吃出亚健康的身体,消费者在食品安全方面要有很多的重视,而将就中式快餐的产品一直都是提高,增加食品的安全健康,是快餐市场的领头羊,品牌的知名度,从而让品牌的地位提升,加盟商想和将就中式快餐共从创造出利益,将就中式快...。
内裤作为贴身衣物,要具备安全和舒适的特点,才能够赢得市场认可,现有很多可供选择的内裤品牌,大卫博士健康内裤值得大家选择,现有关注到内裤项目的创业者,选择代理大卫博士健康内裤,于是来询问大卫博士健康内裤代理价格是多少,下面介绍的内容能够帮助解答这里的疑问,现有不同地区的创业者选择代理大卫博士健康内裤,要是选择在省会城市开设一家40平米的...。
近几年,创客在我国非常流行,而且随着对这一群体的重视和各种优待政策的颁布,创客群体正在不断的扩大中,同时这一群体也在依靠不同的形式创造经营,为我国的市场经济做出贡献,因为创客们创造的经营是很高的,所以很多人都在好奇创客怎么样,如果您也对此很好奇,那就接着往下看吧!创客——将创意转变成现实,,它代指的意思并不是原先的黑客,而是将各种创意...。
万霖,北京,消防技术有限公司,成立于2014年3月,注册了北京CBD创立型技术企业,总部设在北京,专业从事消防智能家安系统,立足于家庭火灾报警系统、智能防水系统、智能厨房系统、智能电气监控系统,智能门窗系统等,做到家庭安全领域的一站式服务商,从家庭的安全管理精细化和扶持家庭安全的系统化,借助和推广大数据、云计算、物联网、地理信息等信息...。
成都一个盛产美食的地方,在这里好吃的小吃实在是太多了,单是想想就让人直流口水,全都是麻辣喷香的,虽然说成都属于祖国的南方,但是在这里面食确十分的多,在这个盛产大米的地方,可口的米粉更是受到了人们的喜爱,市面上随处可见的店铺生意也都是十分的火热,肥肠粉都是深受人们的喜爱,每当饭点的时候,店内的总是人满为患,那么,成都肥肠粉加盟店有哪些呢...。
为达成日均1亿单目标,美团筹备出境,首站试点中国香港,已确定业务负责人10月9日消息,美团正在筹备其国际化业务,该业务由仇广宇负责,仇向美团高级副总裁、到家事业群总裁王莆中汇报,美团正从各部门抽调人手支持国际化业务,技术部门开始开发包括英语、西班牙语和阿拉伯语等在内的多语言平台,目前,美团国际化业务仍在调研阶段,正式进入海外市场之前,...。
一、百度搜索,当贝市场,,进入官网下载最新版本apk文件,或点击直接下载,http,dlap1.dbkan.com,update,dangbeimarket.apk,,并拷贝进u盘,附,当贝市场官网,http,www.dangbei.com,,如果官网当贝市场被系统自动删除,请安装该版本,http,ali.znds.com...。
新京报讯据上饶清风信息,经同意,万年县纪委县监委对万年县第十四届县委委员、上坊乡党委原书记李佩霞涉嫌严重违纪违法疑问启动了立案审查考查,经查,李佩霞丢失现实决计,背弃初心使命,违犯政治纪律,反抗组织审查;违犯中央八项规则精气,违规收受生产卡,私车公养;组织观点淡漠,违犯独裁集中制,团体选择严重事项,在组织函询时不照实说明疑问;以权谋私...。
红岩金刚自装车是一款工地上经常使用的自卸汽车,具备以下参数,红岩金刚自装车在工地上经常使用廉价柴油,对大泵车影响较小,但对共轨机或者形成致命损坏,红岩的轮边减速桥品质稳固,牢靠性高,是金刚称霸工地的利器,轮减桥有三个速比可决定,区分是4.42,4.8和5.73,公路用车普通决定前两种,工程用车决定5.73的速比,红岩金刚自装车用的是什...。
