每周安全资讯
BlackHat 2016第一天会议精彩议题回顾(附PPT下载)
Blackhat 2016第一天已经结束,做为顶级的世界安全大会吸引了全球上万安全从业者参加。整个会议精彩不断,而随着中国的发展,也有越来越的中国的安全研究者加入了Black Hat。今年议题侧重点所有变化, 前几年的大数据分析,人工智能相关的议题似乎有所减少,而Web、协议、PWN相关的议题似乎有所增加,而且这几方面深度也增加不少。
官方PPT下载网址:briefings
苹果推出漏洞赏金计划 为漏洞发现者提供最高20万美元奖金
8月4日苹果安全工程师伊万·克里斯迪克(Ivan Krstic)在2016黑帽安全大会(Black Hat Security Conference)上宣布,该公司将于今年9月推出Bug Bounty Program漏洞赏金计划,将为发现软件重大漏洞和缺陷的个人提供现金奖励。谷歌和微软等科技公司此前已推出过类似的计划。
谷歌宣布对其域名启用HSTS协议
上周五,Google安全团队宣布他们已经对其域名Google.com采用了HSTS。HSTS代表HTTP Strict Transport Security,这是国际互联网工程组织IETE正在推行的一种Web安全协议。HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接,因此如果你访问的网站启用了HSTS,那么浏览器将会记住这一标记,确保未来每次访问该网站都会自动定向到HTTPS,不会在无意中访问不安全的HTTP。
HSTS这个协议还能保护用户的数据免受HTTPS降级攻击(跳转时直接降级为HTTP)、中间人攻击、SSL攻击和Cookie劫持。这一协议被认为是保护HTTPS连接免受SSL攻击最好的方法,但这一协议还没有被大多数浏览器支持。
Google Play商店又有155个应用感染木马,影响280万用户
目前,谷歌官方应用商店Google Play有155个应用感染了Android.Spy木马,该木马会收集用户设备的详细信息,在主屏幕或其它应用程序的顶部(包括系统通知栏)显示广告。这个木马是Android.Spy家族中的一员,被命名为Android.Spy,上次在四月份出现。当时,Dr.Web的研究人员发现,Google Play商店上有104个应用被感染了Android.Spy.277,而这些应用下载量超过了320万。同时,被Android.Spy.305感染应用的下载数目也超过了280万,受影响的用户数量还是相当惊人的。
DARPA CGC网络挑战赛 七支决赛队伍争夺200万美元奖金
由美国国防部高级研究计划局(DARPA)发起的“网络安全挑战赛”(CYBER GRAND CHALLENGE)已进入决赛阶段。周四的时候,七支入围队伍将争夺200万美元的奖金。比赛会在Defcon上“直播”,在此期间,研究团队需要打造出七套“自动攻击系统”。此举旨在实验性探索无人干预条件下的入侵、补丁、网络防御方面的软件程序。
这场比赛不仅富有争议性,同时也暴露了DARPA的雄心壮志——即“打造出一套可以自我防御的软件”。七套系统将相互竞争查找漏洞、编写利用、以及部署补丁,而当前这都是普通安全研究人员的日常工作、此前从未有计算机能这么做。项目的细节非常庞大复杂且属机密,挑战团体已经构建出了一套全新的软件,以编写出利用漏洞的程序,旨在不暴露自身的情况下攻破对手。
每周安全技术
BlackHat 2016,你值得关注的8款安全工具
一年一度的美国黑帽大会除了披露重大安全漏洞外,先进的工具展示过程也是大会必不可少的精彩环节。今年当然也不例外,安全研究人员使出浑身解数,将黑帽大会作为他们思想结晶的展示平台,那么今年究竟有哪些亮眼产品进入大家的视线呢?
初探android app安全测试
伴随着android app的越来越多的应用,关于android app的安全漏洞也在不断地出现,在面对一个安卓应用时,如何对它进行安全测试,笔者从前期准备、需要哪些工具、需要关注哪些测试点进行了详细的介绍。Android5.1.1 - APK签名校验分析和修改源码绕过签名校验
寻禹@阿里聚安全的技术干货分享:APK签名校验分析和修改源码绕过签名校验
活动沙龙
阿里聚安全正式开启渠道销售战略!期待与您携手共进!
自上线半年时间阿里聚安全已服务超过1000个移动应用和10000个互联网站点,总体覆盖超过5亿个终端。面对庞大的移动安全市场需求,阿里聚安全现已全面开启渠道销售战略,我们正努力寻找有实力的渠道合作伙伴,不限行业,不限区域。8月10日阿里聚安全企业沙龙全国行(北京站),我们在现场等你!
渠道联系邮箱:lihong.wlh@alibaba-inc.com;
参会联系邮箱:joyce.wq@alibaba-inc.com;
更多安全资讯及技术文章,请访问阿里聚安全博客
