摘要:2018年4月3日,阿里巴巴钉钉宣布已经正式通过了两项安全方面的权威资质:SOC2Type1服务审计报告和ISO27018(公有云体系下的隐私保护)证书。 钉钉方透露,此次通过美国注册会计师协会(AICPA) 制定的SOC2审计标准,报告由国际审计师事务所普华永道出具。 在SOC2Type1报告中,
阅读全文
摘要:几日前Google的研究人员公开了2个PDF文件,笔者也第一时间下载并按提示检查了SHA-1的校验值.
阅读全文
摘要:基于机器学习技术的新一代web入侵检测技术有望弥补传统规则集方法的不足,为web对抗的防守端带来新的发展和突破。本文介绍了机器学习用于web异常检测的几个思路。
阅读全文
摘要:内容监控的技术揭秘,了解阿里巴巴直播内容风险防控中的AI力量.
阅读全文
摘要:进攻即是最好的防御,这句话同样适用于信息安全的世界。
阅读全文
摘要:最近发现Chrome出现了一个小“bug”,在Chrome 50+ 版本中,通过一些技巧可以轻易地重写只读对象,从而让恶意代码可以控制网页编写者的跳转行为。
阅读全文
摘要:本文将重点讨论如何保护企业,帮助他们更好地应对勒索软件的威胁
阅读全文
摘要:XSS的实战对抗中,由于防守方经常会采用各种各样严格的过滤手段来过滤输入,所以我们使用的XSS Payload也会根据实际情况作出各种各样的调整.
阅读全文
摘要:ROP是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。这篇教程带来linux_x64方面的ROP利用方法。
阅读全文
摘要:一、背景介绍 近日,阿里移动安全收到多方用户反馈,手机中了一种难以清除的病毒。病毒一旦发作,设备将不断弹出广告,并自动下载、安装、启动恶意应用,最终设备衰竭而死,用户很难通过常规的卸载手段清除病毒。由于该病毒有多个版本演变并有起死回生之术,我们将该病毒命名为“九头虫”。 我们分析发现,“九头虫”病毒
阅读全文
摘要:一、从两个工具说起 最近Google又推出了两款有关CSP利用的小工具,其一为 "CSP Evaluator" ,这是一个能够评估你当前输入的CSP能否帮助你有效避免XSS攻击的工具,其用法非常简单,在输入框中输入你当前设置或将要设置的CSP值,选择需要验证的CSP版本,然后按下“CHECK CSP
阅读全文
摘要:想要构造一个web系统中的TPM,首要问题就是需要保证输入数据安全,打造一个相对可信的前端环境。但是由于web的开放特性,前端作为数据采集的最前线,js代码始终暴露在外,在这种情况下,js代码混淆的重要性逐渐彰显出来。
阅读全文
摘要:在之前的文章中我们详细分析了TaintDroid对DVM栈帧的修改,以及它是如何在修改之后的栈帧中实现DVM变量级污点跟踪、Native方法级跟踪。本篇文章我们来分析下IPC级污点传播。
阅读全文
摘要:ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的学好ROP还是得从基础的x86系统开始,但看官请不要着急。
阅读全文
