2016年第16周微信公众号精选安全技术文章总览

洞见网安 2016-4-18

0x1 如何绕过Edge XSS过滤器？

安全张之家 2016-04-22T07:20:41

作者曾经在2015年9月向微软提交了这个bug，但是微软至今也没有修复这个问题。考虑到离提交报告已经过去了很

0x2 VXers通过dns偷取信用卡数据

安全张之家 2016-04-22T07:20:41

NewPosThings恶意软件现在发现了一个新的变种，它使用DNS协议穿透防火墙从而传输数据。它被命名为V

本文详细探讨了网络安全中的撞库攻击及其防御策略。文章以2014年12306和2015年网易邮箱的撞库攻击事件为例，说明了撞库攻击的严重性和普遍性。文章首先解释了撞库攻击的概念，即黑客利用已泄露的用户名和密码信息批量尝试登录其他网站。接着，文章分析了撞库攻击成功的原因，包括用户习惯于使用相同的密码和网站安全措施不足。文章进一步讨论了撞库攻击的危害，对企业品牌形象和用户个人信息的潜在威胁。为了防止撞库攻击，文章提出了多种策略，如限制IP请求次数、使用安全的验证码、生物特征识别和手机验证码等。文章强调了选择安全性高的验证码的重要性，并指出验证码在防御撞库攻击中的关键作用。最后，文章简要介绍了极验验证技术，该技术通过行为式验证和动态更新验证模型来提高验证码的安全性。

密码安全用户身份验证网络攻击安全策略数据泄露网络安全防护

0x4 【工具推荐】|Backdoor-apk，安卓APK文件后门测试工具

安全张之家 2016-04-19T07:09:16

本文介绍了一款名为Backdoor-apk的网络安全工具，该工具是一个shell脚本程序，旨在简化在Android APK文件中添加后门的过程。在使用该工具之前，安全研究人员需要了解Linux、Bash、Metasploit、Apktool、Android SDK和smali等相关知识。Backdoor-apk工具仅用于研究和学习目的，文章详细描述了使用该工具将后门添加到APK文件的步骤，包括生成reverse tcp meterpreter payload、反编译原始APK文件、创建新的smali文件目录、复制并修复smali文件、在原始项目中的smali文件中添加hook、合并权限、重新编译带有后门的原始项目以及签名APK。最后，文章提醒用户制作好的APK文件可以在original/dist目录下找到，并应在测试设备上安装，并配置IP和端口以利用meterpreter进行测试。文章还提供了Backdoor-apk项目的GitHub地址，并强调了工具的合法使用。

0x5 恶意软件逃避反病毒引擎的几个新方法

天创培训 2016-04-18T16:03:16

敏感内容

恶意软件网络安全反病毒技术 APT攻击漏洞利用文档感染威胁分析隐身技术

0x6 【漏洞报告】|安全漏洞周报（2016年4月10日至2016年4月17日）

安全张之家 2016-04-18T13:36:01 © 安全张之家

安全漏洞周报（完整版）2016年4月11日至2016年4月18日国家计算机网络入侵防范中心安全漏洞周报：20

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。