【2020.06.01~2020.06.07】知识分享

当初建公众号定的OKR是文章数量能有高产土豆师傅的一半,看来是赶不上了。
写公众号目的是为了定期有的稳定的学习输出,索性就换成每周发一篇总结文,和大家一起分享在学习路上看到的风景。

0x01 业务安全

  • 业务安全的攻防实践与思考:
    https://live.freebuf.com/activity/eb981fa6807c1211d0728dd54728225a/l_aea3958ff2d31b22506e6f78166c8147

友商字节跳动举办的安全沙龙,风控研发童鞋分享的第一个议题《业务安全的攻防》议题的很赞。同时对其总结的黑灰产的发展趋势也深有体会:

【黑产能力的提升】
业务场景更丰富:黑产针对短视频直播行业特有业务场景,比如:无人直播,短视频搬运工,众包刷量平台,直播场控软件,短视频带货刷单等
程序自动化:使用的自动化程序也更多:线控,箱控,群控,云控等硬件技术的进化,使攻击流程自动化,大幅度提升效率降低作弊成本。
作弊资源丰富:搭建海外的IP,手机卡和资源渠道等。

【攻击从机器到真人的转变】
黑产从早期模拟协议的机器作弊方式,变为半真机,真机甚至是真人众包(兼职)的模式。对判定作弊的方式产生了很大的挑战。

【拓展国际化业务】
受到市场拓展,市场监管打击等因素,国内黑灰产开始拓展转移到海外作案。由于海外有GDPR等规范,限制能取到的设备数据,影响到后端的打击。

0x02 终端安全攻防

  • iOS逆向之人脸识别绕过:https://www.freebuf.com/vuls/236835.html

文章脱壳,破解重打包梭哈一条街,可以跟着走一篇尝试一下iOS上破解使用的破解工具和流程。其中APP的登录的逻辑人脸认证+账号密码。主要破解利用点是patch掉人脸认证逻辑实现仅需账号密码登录。

常见移动APP的身份认证方式有静态密码,2FA,身份特征密码等。
1.传统的静态密码:
由账号+密码等静态字符、图像、手势等,比较容易被盗取或爆破,相对不安全。
2.双因子(2FA)
双因子验证(2FA)是指结合密码以及实物(手机+SMS短信、动态令牌或指纹人脸等生物标志)两种条件对用户进行认证的方法。

  • 微信朋友圈分析:https://www.anquanke.com/post/id/207459

产品功能逆向好文,如何快速定位并分析大型应用的某个单点功能,通过观察参数和返回值还原逻辑并实现特定功能hook调用。

  • (CVE-2020-0069)MTK的漏洞分析,梦回通用ROOT年代:
    https://www.4hou.com/posts/n8Ql

同事问了下现在安卓还有以前360一键root,kingroot类似的工具么?
2020年3月还真爆过一个联发科的通用提权漏洞,分析见https://www.xda-developers.com/mediatek-su-rootkit-exploit/
exploit:https://github.com/JunioJsv/mtk-easy-su
顺带补一个联发科的fuzz工具:https://github.com/fgsect/BaseSAFE

0x03 工具

  • AndroidDebugBridge RCE漏洞poc:https://github.com/enty8080/r0pwn

目前是比较简单直接adb connect ip直连手机,作者说之后有Android stagefright exploit 放出来。

  • 使用 frida 作为桥梁,提供在 java 里写 hook 的能力:https://bbs.pediy.com/thread-259977.htm

赞,可以用java来写frida hook插件了。frida使用教程https://www.jianshu.com/p/bab4f4714d98

  • Android应用漏洞的学习demo:https://github.com/B3nac/InjuredAndroid

可以拿来当做一些扫描器测试case。

  • 扫描JS文件中出现的敏感信息:https://securityjunky.com/scanning-js-files-for-endpoint-and-secrets/

  • 另一个llvm混淆源码:https://github.com/emc2314/YANSOllvm

你可能感兴趣的:(每周知识学习)