技术文章

31 articles

PHP安全编码规范之安全配置篇

天融信阿尔法实验室 李喆

因为配置不当引发的安全问题是屡见不鲜的,通过一系列的安全配置,可以很好的解决一些安全隐患,从而为系统增加安全系数。但是在开发过程中,因为需求的改变和编程的习惯可能会更改一些配置同时带来安全隐患。在这种情况下,需要更加的了解配置带来的安全隐患,也就是漏洞的产生原理。同时需要了解在打开一些配置安全隐患之后,该如何通过一些其他手段解决安全问题是我们重点需要讨论的问题。

0×01注册全局变量带来的安全隐患

register_globals这个是开启全局注册变量功能,为On是开启,Off是关闭。在开启后带来的安全隐患是巨大的,所以建议关闭。如果在需求上需要开启,在02[......]

Read more

关注利用伪基站+钓鱼网站获取受害者信息的攻击

0×0 什么是伪基站

“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

骗子通常利用伪基站把自己伪装成运营商(电信、移动 10086 、联通 10010)甚至伪装成银行“工行95588”、“建行95533”等宣称您的账户溢满xx积分,可兑换xx现金,要求用户通过手机登陆某个网站、进行积分查询和兑换。最近在我们公司附近,就出现了多次利用伪基站发送钓鱼网址的情形,以下是昨天下午我们对该类一事件的跟踪和分析。

0×1 Fa[......]

Read more

互联网典型恶意域名跟踪思路探索

 

1 缘起

经过多年对互联网上的恶意域名解析对应地址的跟踪,发现有的单个IP地址对应的恶意域名数量非常巨大,达到数百上千,在每周的大陆和海外单个IP地址对应恶意域名数量前10位地址列表中就可以清晰的反映出来。这个列表一般的变化不大,但是一旦出现了变化,就代表目前互联网上出现了新的集中爆发的恶意行为,因此大陆和海外单个IP地址对应恶意域名数量前10位地址变化跟爆发性的互联网恶意行为的关联度很大,这是一个深入分析和探究恶意地址变化规律的突破口。通过对这个列表的排名变化的持续跟踪,可以直观的发现互联网的恶意行为的爆发,持续和迁移的全生命周期过程。

如果再采用一些创新思路,比如考虑到[......]

Read more

IE漏洞攻防编年简史

本文对历史上的微软IE 浏览器的影响较大0day做了梳理,讨论了IE漏洞在攻击防御技术上的进化,以及记录了此类漏洞前人们在历史上遗留下来的对抗经验和足迹。在IE浏览器攻防已经白热化的进入到第三个阶段的时候笔者才进入到IE浏览器攻防方面的研究学习。此时代号’Project Spartan’的微软的Edge浏览器从IE11手中接过windows默认浏览器的重担,使得服役将近20年的IE浏览器定格11这个历史的大版本号上面,自觉对IE浏览器漏洞的历史研究应有一篇简记,可供后来的初入行的安全研究者有所参考,故成此文,疏漏之处再所难免,敬请指正。

更新记录

2016年01月08日 – 撰写初[......]

Read more

阿尔法实验室针对典型钓鱼攻击的溯源与反控制

近来,我们收到了一些针对天融信公用邮箱的鱼叉式定点攻击邮件,这些邮件五花八门,但是最终的目的还是要诱骗出邮箱的登录口令,从这一点来看,就可以轻松识别出钓鱼邮件。以下是钓鱼邮件的实例:

一、钓鱼邮件

 

图片1

识别要点:

  1. 发件人并非本公司的邮箱;
  2. 收件人的邮箱与收件人不匹配,仔细观察,发现管理员administrator,成为了admlnistnator,这也是一个钓鱼邮件的细节;
  3. 更重要的是这里出现了要求填写个人各种信息的内容,更加明确了这就是一封垃圾邮件。

图片2_meitu_1

这封邮件的欺骗程度更高!

  1. 仔细观察发件人的邮箱是某地方银行监督委员会的,它对于某[......]

Read more

TrueCrypt与CryptSetup双系统全盘加密(图文)

By kernux TopSec α-lab

选取无系统硬盘进行说明。

1. 首先在硬盘上安装Windows系统,过程简单,直接光盘启动电脑,或者PE安装,都可以。

2. 安装完成Windows后,开始安装Kali Linux。同样光盘启动电脑,或者U盘启动,进入安装后,具体分区过程如下:

1.0

选择Manual后

1.1.1

第一个是Windows分区,后面是空闲空间,在这里建立一个boot分区

1

再建立一个加密分区,选择Configure encryted  volumes

2

3

1

5

7

8

然后开始擦出分区信息,如果是新硬盘[......]

Read more

用alphafuzzer挖掘网络协议漏洞

AlphaFuzzer挖掘某通讯软件的内存破坏漏洞
AlphaFuzzer是一款多功能的漏洞挖掘框架,截止到1.3版本,AlphaFuzzer只包含了文件格式的漏洞挖掘框架。从1.4版本开始,AlphaFuzzer增加了网络协议漏洞挖掘框架。
图片1
如上图为测试版网络协议框架的界面,数据窗口用于定义数据包的文件格式,与文件格式挖掘框架使用相同的解析引擎。行为窗口用来定义测试时候需要的一些网络行为,支持的api语句有:
Recv:接受数据。
SendAll:发送数据窗口构建的数据。
SendHex:发送指定的二进制数据。
SendTxt:发送指定的文本型数据。
Sleep:系统等待一[......]

Read more

隐藏在windbg下面的攻防对抗

1 关于驱动底层操作的监控调试

一般在进行常规的ring0级别的windows调试的时候都会使用windbg。但是有的时候windbg中断过于频繁,比方说经常会出现这样的场景,需要追踪一个特定的被删除的文件backdoor.exe,backdoor.exe被杀毒软件删除掉了,想观察到backdoor.exe被删除的完整的栈回溯。这个时候使用ollydbg进行追踪下断或者使用官方的监控工具procmon.exe往往是徒劳的。一般来说杀毒软件都是通过deviceiocontrol下发相关的iocode,ring0层的穿越驱动通过解析iocode和它的buffer来确定删除的文件。国内杀毒软件的穿[......]

Read more

HID攻击之TEENSY实战

HID攻击之TEENSY实战

/图 天融信阿尔法实验室 冷风

 

概述

 

从传统意义讲,当你在电脑中插入一张CD/DVD光盘,或者插入一个USB设备时,可以通过自动播放来运行一个包含恶意的文件,不过自动播放功能被关闭时,autorun.inf文件就无法自动执行你的文件了。然而通过TEENSY,你可以模拟出一个键盘和鼠标,当你插入这个定制的USB设备时,电脑会识别为一个键盘,利用设备中的微处理器,与存储空间,和编程进去的攻击代码,就可以向主机发送控制命令,从而完全控制主机,无论自动播放是否开启,都可以成功。

    1

 [......]

Read more