极客观点
项目管理
HarmonyOS
阿里聚安全
142
获赞数
0
关注数
234
粉丝数
IP 属地未知
2015-03-03 加入
浏览 21.1k
阿里聚安全(http://jaq.alibaba.com)由阿里巴巴移动安全部出品,面向企业和开发者提供企业安全解决方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。
765 声望|达人
全站排名超越 98% 用户
阿里聚安全
554
android
216
验证码
105
安全
93
漏洞
79
个人动态
- 发布了文章2018-02-05
150万元重奖!阿里软件供应链安全大赛正式启动
近些年,从棱镜门事件到XcodeGhost,再从惠普驱动键盘记录后门事件,到Xshell后门、python pip源欺骗性污染、VSCODE插件钓鱼。软件供应链安全事件不仅频繁发生,而且具有威胁对象种类多、极端隐蔽、涉及纬度广、攻击成本低回报高、检测困难等特性。 - 发布了文章2018-01-02
DowginCw病毒家族解析
近期,钱盾反诈实验室通过钱盾恶意代码智能监测引擎感知并捕获一批恶意应用。由于该批病毒会联网加载“CWAPI”插件,故将其命名为“DowginCw”病毒家族。“DowginCw”通过插件形式集成到大量儿童游戏应用中,然后通过发布于各大应用商店或强制软件更新等手段,将恶意代码植... - 发布了文章2017-12-28
DowginCw病毒家族解析
近期,钱盾反诈实验室通过钱盾恶意代码智能监测引擎感知并捕获一批恶意应用。由于该批病毒会联网加载“CWAPI”插件,故将其命名为“DowginCw”病毒家族。“DowginCw”通过插件形式集成到大量儿童游戏应用中,然后通过发布于各大应用商店或强制软件更新等手段,将恶意代码植... - 发布了文章2017-12-15
独家探寻阿里安全潘多拉实验室,完美越狱苹果iOS11.2.1
知道如何从攻击的视角去发现漏洞,才能建立更安全的体系,促进了整个生态的良性发展。以阿里安全潘多拉实验室为例,在对移动系统安全研究的过程中,把研究过程中发现的问题上报给厂商,促进系统安全性的提升。 - 发布了文章2017-11-30
卡巴斯基发布安全公告:2018年威胁预测
卡巴斯基实验室的全球研究和分析团队追踪了超过100个APT(高级持续性威胁)的组织,发现有一些的攻击活动非常复杂,他们不仅拥有广泛的武器库,包括零日漏洞,无文本攻击工具等,并将传统的黑客攻击复杂化去实现数据渗透的目的。 - 发布了文章2017-11-03
分享一个白帽交流灵感的社区——先知技术安全社区
(一)源起自1998年进入互联网元年之后,所有的一切都因为网络而改变。有人的地方就有江湖,互联网不外如是。过去的二十年,互联网安全领域宛如武侠小说中侠客武林,不论是成名侠客还是后起之秀都游走在这块边线并不明晰的处女之地。白帽黑客应运而生。 - 发布了文章2017-10-24
【生物识别】阿里巴巴在移动端核身技术实践
导语:利用生物识别技术进行身份认证、人机交互已经成为很多移动端产品的重要趋势。阿里实人认证技术可以利用活体检测、人脸对比等并结合权威数据源与阿里实人可信模型,判定用户身份真实性、有效性的在线身份校验服务。阿里声纹识别技术应用于阿里系平台的用户身份... - 发布了文章2017-10-24
WiFi网络WPA2 KRACK漏洞分析报告
安全研究员Mathy Vanhoef发现的WPA2协议的KRA(Key Reinstallation Attacks)漏洞,利用WPA2协议标准加密密钥生成机制上的设计缺陷,四次握手协商加密密钥过程中第三个消息报文可被篡改重放,导致在用密钥被重新安装。 - 发布了文章2017-10-18
WiFi网络WPA2 KRACK漏洞分析报告
安全研究员Mathy Vanhoef发现的WPA2协议的KRA(Key Reinstallation Attacks)漏洞,利用WPA2协议标准加密密钥生成机制上的设计缺陷,四次握手协商加密密钥过程中第三个消息报文可被篡改重放,导致在用密钥被重新安装。 - 发布了文章2017-10-16
#云栖大会# 移动安全专场——APP渠道推广作弊攻防那些事儿(演讲速记)
导语:如今,移动互联网浪潮进入白热化竞争态势,APP渠道传播成为很多企业常用的推广方式,APP推广费用也在水涨船高,从PC时代的一个装机0.5元到1元不等,到移动互联网时代的5元,甚至几十元,但为什么转化效果却越来越差。在如此巨大经济利益的驱使下,渠道推广掺假... - 发布了文章2017-10-13
#云栖大会# 移动安全专场——APP加固新方向(演讲速记)
主持人导语:近些年来,移动APP数量呈现爆炸式的增长,黑产也从原来的PC端转移到了移动端,伴随而来的逆向攻击手段也越来越高明。在解决加固产品容易被脱壳的方案中,代码混淆技术是对抗逆向攻击最有效的方式之一。但目前的移动端加固技术真能抵御黑客的攻击吗? - 发布了文章2017-10-10
Java安全编码:糟糕的在线建议和令人困惑的APIs
对于程序员和软件开发人员来说,网络论坛提供了一个交流知识和寻找具体编码难题答案的好地方。遗憾的是,他们并不总是准确信息的来源。弗吉尼亚理工大学的一组研究人员分析了数百篇关于Stack Overflow的文章,(Stack Overflow是一个很受欢迎的开发者论坛或者说Q&... - 发布了文章2017-09-20
CVE-2016-10191 FFmpeg RTMP Heap Buffer Overflow 漏洞分析及利用
一、前言FFmpeg是一个著名的处理音视频的开源项目,使用者众多。2016年末paulcher发现FFmpeg三个堆溢出漏洞分别为CVE-2016-10190、CVE-2016-10191以及CVE-2016-10192。网上对CVE-2016-10190已经有了很多分析文章,但是CVE-2016-10191尚未有其他人分析过。本文详细分... - 发布了文章2017-09-14
CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析及利用
作者:栈长@蚂蚁金服巴斯光年安全实验室————————1. 背景FFmpeg是一个著名的处理音视频的开源项目,非常多的播放器、转码器以及视频网站都用到了FFmpeg作为内核或者是处理流媒体的工具。2016年末paulcher发现FFmpeg三个堆溢出漏洞分别为CVE-2016-10190、CVE-2016-1019... - 发布了文章2017-08-29
WireX:Android智能手机组成的DDoS僵尸网络
该僵尸网络名为WireX,被杀毒工具检测识别为“Android Clicker”,主要包括运行从谷歌Play商城下载的数百个恶意软件的Android设备,而这些恶意软件被设计来进行大规模应用层DDoS攻击。 - 发布了文章2017-08-17
从Google Play下载应用并不安全,上千款监视软件伪装其中
如果你认为在官方应用市场里下载app就觉得安全的话,小编可以负责任的回答你:“too young too simple,sometimes native” - 发布了文章2017-08-15
强密码和弱密码并没有什么区别?NIST密码安全标准更新:不再建议密码要求混合大写字母、字符和数字
作为一名认真负责的小编,每次注册账号设置密码的时候都是最痛苦的,太简单的怕被破解,太难的又记不住。等你好不容易记住密码,三个月后IT同学过来拍拍你的肩膀,“你的密码到期了,记得改啊……”目前绝大部分网站对于注册账号的密码强度分为3个等级:弱密码、中密码、... - 发布了文章2017-08-15
AVPass技术分析:银行劫持类病毒鼻祖BankBot再度来袭,如何绕过谷歌play的杀毒引擎?
背景近期,一批伪装成flashlight、vides和game的应用,发布在google play官方应用商店。经钱盾反诈实验室研究发现,该批恶意应用属于新型BankBot。Bankbot家族算得上是银行劫持类病毒鼻祖,在今年年初曾爆发,之前主要针对欧洲国家,可劫持50多家银行应用,而新发酵... - 发布了文章2017-08-12
再谈CVE-2017-7047 Triple_Fetch和iOS 10.3.2沙盒逃逸
0x00 序Ian Beer@google发布了CVE-2017-7047Triple_Fetch的exp和writeup[1],chenliang@keenlab也发表了关于Triple_Fetch的分析[2],但由于这个漏洞和exp有非常多的亮点,所以还剩很多可以深入挖掘的细节。因此,我们简单分析一下漏洞形成的原因,并具体介绍一下漏洞... - 发布了文章2017-08-02
FFmpeg任意文件读取漏洞分析
6月24号的时候hackerone网站上公布了一个ffmpeg的本地文件泄露的漏洞,可以影响ffmpeg很多版本,包括3.2.2、3.2.5、3.1.2、2.6.8等等。
标签得分
暂无数据
获得勋章
暂无数据
声望记录
暂无数据