cao死我好湿好紧好爽动态视屏|精选久久久久久久久久|中文无码精品一区二区三区四季|AAA国语精品刺激对白视频|

當(dāng)前位置:首頁 > 網(wǎng)站建設(shè) > 正文內(nèi)容

一個(gè)基本的html文檔的結(jié)構(gòu)(一個(gè)html文檔由什么組成)

網(wǎng)站建設(shè)4小時(shí)前16

騰訊安全玄武實(shí)驗(yàn)室發(fā)現(xiàn)“應(yīng)用克隆”攻擊模型 過半移動(dòng)應(yīng)用或需重新設(shè)計(jì)

鋪天蓋地的消息是這樣描述的:

你有沒有想過,你的支付寶竟然能被克隆到別人的手機(jī)上,而他可以像你一樣使用該賬號(hào),包括掃碼支付。

這不是小編聳人聽聞,你安裝的手機(jī)應(yīng)用里,真的可能存在這種漏洞。

1月9日,騰訊安全玄武實(shí)驗(yàn)室與知道創(chuàng)宇404實(shí)驗(yàn)室披露攻擊威脅模型——“應(yīng)用克隆”。在這個(gè)攻擊模型的視角下,很多以前認(rèn)為威脅不大、廠商不重視的安全問題,都可以輕松“克隆”用戶賬戶,竊取隱私信息,盜取賬號(hào)及資金等。

先通過一個(gè)演示來了解它,以支付寶為例:

在升級(jí)到最新安卓8.1.0的手機(jī)上↓

“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機(jī)短信↓

展開全文

一個(gè)基本的html文檔的結(jié)構(gòu)(一個(gè)html文檔由什么組成)

用戶一旦點(diǎn)擊,其賬戶一秒鐘就被“克隆”到“攻擊者”的手機(jī)中↓

然后“攻擊者”就可以任意查看用戶信息,并可直接操作該應(yīng)用↓

為了驗(yàn)證這個(gè)克隆APP是不是真的能花錢,記者借到了一部手機(jī),經(jīng)過手機(jī)機(jī)主的同意,記者進(jìn)行了測(cè)試。

記者發(fā)現(xiàn),中了克隆攻擊之后,用戶這個(gè)手機(jī)應(yīng)用中的數(shù)據(jù)被神奇地復(fù)制到了攻擊者的手機(jī)上,兩臺(tái)手機(jī)看上去一模一樣。那么,這臺(tái)克隆手機(jī)能不能正常的消費(fèi)呢?記者到商場(chǎng)買了點(diǎn)東西。

記者在被克隆的手機(jī)上看到,這筆消費(fèi)已經(jīng)悄悄出現(xiàn)在支付寶賬單中。

因?yàn)樾☆~的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機(jī),花別人的錢。

詳細(xì)戳視頻↓↓↓

漏洞幾乎影響國(guó)內(nèi)所有安卓用戶

騰訊經(jīng)過測(cè)試發(fā)現(xiàn),“應(yīng)用克隆”對(duì)大多數(shù)移動(dòng)應(yīng)用都有效,在200個(gè)移動(dòng)應(yīng)用中發(fā)現(xiàn)27個(gè)存在漏洞,比例超過10%。

騰訊安全玄武實(shí)驗(yàn)室此次發(fā)現(xiàn)的漏洞至少涉及國(guó)內(nèi)安卓應(yīng)用市場(chǎng)十分之一的APP,如支付寶、餓了么等多個(gè)主流APP均存在漏洞,所以該漏洞幾乎影響國(guó)內(nèi)所有安卓用戶。

目前,“應(yīng)用克隆”這一漏洞只對(duì)安卓系統(tǒng)有效,蘋果手機(jī)則不受影響。另外,騰訊表示目前尚未有已知案例利用這種途徑發(fā)起攻擊。

“應(yīng)用克隆”有多可怕?

騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸表示,該攻擊模型基于移動(dòng)應(yīng)用的一些基本設(shè)計(jì)特點(diǎn)導(dǎo)致的,所以幾乎所有移動(dòng)應(yīng)用都適用該攻擊模型。

“應(yīng)用克隆”的可怕之處在于:和以往的木馬攻擊不同,它實(shí)際上并不依靠傳統(tǒng)的木馬病毒,也不需要用戶下載“冒名頂替”常見應(yīng)用的“李鬼”應(yīng)用。

網(wǎng)絡(luò)安全工程師告訴記者,和過去的攻擊手段相比,克隆攻擊的隱蔽性更強(qiáng),更不容易被發(fā)現(xiàn)。因?yàn)椴粫?huì)多次入侵你的手機(jī),而是直接把你的手機(jī)應(yīng)用里的內(nèi)容搬出去,在其他地方操作。 和過去的攻擊手段相比,克隆攻擊的隱蔽性更強(qiáng),更不容易被發(fā)現(xiàn)。

騰訊相關(guān)負(fù)責(zé)人比喻:“這就像過去想進(jìn)入你的酒店房間,需要把鎖弄壞,但現(xiàn)在的方式是復(fù)制了一張你的酒店房卡,不但能隨時(shí)進(jìn)出,還能以你的名義在酒店消費(fèi)?!?/p>

↑玄武實(shí)驗(yàn)室9日檢測(cè)結(jié)果

來看點(diǎn)專業(yè)的:關(guān)于Android平臺(tái)WebView控件存在跨域高危漏洞的安全公告

2017年12月7日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)接收到騰訊玄武實(shí)驗(yàn)室報(bào)送的Android WebView存在跨域訪問漏洞(CNVD-2017-36682)。攻擊者利用該漏洞,可遠(yuǎn)程獲取用戶隱私數(shù)據(jù)(包括手機(jī)應(yīng)用數(shù)據(jù)、照片、文檔等敏感信息),還可竊取用戶登錄憑證,在受害者毫無察覺的情況下實(shí)現(xiàn)對(duì)APP用戶賬戶的完全控制。由于該組件廣泛應(yīng)用于Android平臺(tái),導(dǎo)致大量APP受影響,構(gòu)成較為嚴(yán)重的攻擊威脅。

一、漏洞情況分析

WebView是Android用于顯示網(wǎng)頁的控件,是一個(gè)基于Webkit引擎、展現(xiàn)web頁面的控件。WebView控件功能除了具有一般View的屬性和設(shè)置外,還可對(duì)URL請(qǐng)求、頁面加載、渲染、頁面交互進(jìn)行處理。

該漏洞產(chǎn)生的原因是在Android應(yīng)用中,WebView開啟了file域訪問,允許file域訪問http域,且未對(duì)file域的路徑進(jìn)行嚴(yán)格限制所致。攻擊者通過URL Scheme的方式,可遠(yuǎn)程打開并加載惡意HTML文件,遠(yuǎn)程獲取APP中包括用戶登錄憑證在內(nèi)的所有本地敏感數(shù)據(jù)。

漏洞觸發(fā)成功前提條件如下:

1.WebView中setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLsAPI配置為true;

2.WebView可以直接被外部調(diào)用,并能夠加載外部可控的HTML文件。

CNVD對(duì)相關(guān)漏洞綜合評(píng)級(jí)為“高?!薄?/p>

二、漏洞影響范圍

漏洞影響使用WebView控件,開啟file域訪問并且未按安全策略開發(fā)的Android應(yīng)用APP。

三、漏洞修復(fù)建議 廠商暫未發(fā)布解決方案,臨時(shí)解決方案如下:

1. file域訪問為非功能需求時(shí),手動(dòng)配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs兩個(gè)API為false。(Android4.1版本之前這兩個(gè)API默認(rèn)是true,需要顯式設(shè)置為false)

2. 若需要開啟file域訪問,則設(shè)置file路徑的白名單,嚴(yán)格控制file域的訪問范圍,具體如下:

(1)固定不變的HTML文件可以放在assets或res目錄下,file:///android_asset和file:///android_res 在不開啟API的情況下也可以訪問;

(2)可能會(huì)更新的HTML文件放在/data/data/(app) 目錄下,避免被第三方替換或修改;

(3)對(duì)file域請(qǐng)求做白名單限制時(shí),需要對(duì)“../../”特殊情況進(jìn)行處理,避免白名單被繞過。

(1)固定不變的HTML文件可以放在assets或res目錄下,file:///android_asset和file:///android_res 在不開啟API的情況下也可以訪問;

(2)可能會(huì)更新的HTML文件放在/data/data/(app) 目錄下,避免被第三方替換或修改;

(3)對(duì)file域請(qǐng)求做白名單限制時(shí),需要對(duì)“../../”特殊情況進(jìn)行處理,避免白名單被繞過。

3. 避免App內(nèi)部的WebView被不信任的第三方調(diào)用。排查內(nèi)置WebView的Activity是否被導(dǎo)出、必須導(dǎo)出的Activity是否會(huì)通過參數(shù)傳遞調(diào)起內(nèi)置的WebView等。

4. 建議進(jìn)一步對(duì)APP目錄下的敏感數(shù)據(jù)進(jìn)行保護(hù)??蛻舳薃PP應(yīng)用設(shè)備相關(guān)信息(如IMEI、IMSI、Android_id等)作為密鑰對(duì)敏感數(shù)據(jù)進(jìn)行加密。使攻擊者難以利用相關(guān)漏洞獲得敏感信息。(作者:國(guó)家互聯(lián)網(wǎng)應(yīng)急中心官方賬號(hào))

小伙伴們?cè)趺崔k?

修復(fù):APP廠商需自查

一個(gè)令人吃驚的事實(shí)是,這一攻擊方式并非剛剛被發(fā)現(xiàn)。騰訊相關(guān)負(fù)責(zé)人表在發(fā)現(xiàn)這些漏洞后,騰訊安全玄武實(shí)驗(yàn)室通過國(guó)家互聯(lián)網(wǎng)應(yīng)急中心向廠商通報(bào)了相關(guān)信息,并給出了修復(fù)方案,避免該漏洞被不法分子利用。另外,玄武實(shí)驗(yàn)室將提供“玄武支援計(jì)劃”協(xié)助處理。

于旸表示,由于對(duì)該漏洞的檢測(cè)無法自動(dòng)化完成,必須人工分析,玄武實(shí)驗(yàn)室無法對(duì)整個(gè)安卓應(yīng)用市場(chǎng)進(jìn)行檢測(cè),所以希望更多的APP廠商關(guān)注并自查產(chǎn)品是否仍存在相應(yīng)漏洞,并進(jìn)行修復(fù)。對(duì)用戶量大、涉及重要數(shù)據(jù)的APP,玄武實(shí)驗(yàn)室也愿意提供相關(guān)技術(shù)援助。

用戶如何進(jìn)行防范?

而普通用戶最關(guān)心的則是如何能對(duì)這一攻擊方式進(jìn)行防范。知道創(chuàng)宇404實(shí)驗(yàn)室負(fù)責(zé)人回答記者提問時(shí)表示,普通用戶的防范比較頭疼,但仍有一些通用的安全措施:

首先是別人發(fā)給你的鏈接少點(diǎn),不太確定的二維碼不要出于好奇去掃;

更重要的是,要關(guān)注官方的升級(jí),包括你的操作系統(tǒng)和手機(jī)應(yīng)用,有小紅點(diǎn)出來時(shí)一定要及時(shí)升級(jí)。目前支付寶、餓了么等主流APP已主動(dòng)修復(fù)了該漏洞,只需用戶升級(jí)到最新版本。

首先是別人發(fā)給你的鏈接少點(diǎn),不太確定的二維碼不要出于好奇去掃;

更重要的是,要關(guān)注官方的升級(jí),包括你的操作系統(tǒng)和手機(jī)應(yīng)用,有小紅點(diǎn)出來時(shí)一定要及時(shí)升級(jí)。目前支付寶、餓了么等主流APP已主動(dòng)修復(fù)了該漏洞,只需用戶升級(jí)到最新版本。

掃描二維碼推送至手機(jī)訪問。

版權(quán)聲明:本文由飛速云SEO網(wǎng)絡(luò)優(yōu)化推廣發(fā)布,如需轉(zhuǎn)載請(qǐng)注明出處。

本文鏈接:http://www.smallwaterjetsystem.com/post/129557.html

“一個(gè)基本的html文檔的結(jié)構(gòu)(一個(gè)html文檔由什么組成)” 的相關(guān)文章

建設(shè)部網(wǎng)站(中國(guó)住房和建設(shè)部網(wǎng)站)

建設(shè)部網(wǎng)站(中國(guó)住房和建設(shè)部網(wǎng)站)

今天給各位分享建設(shè)部網(wǎng)站的知識(shí),其中也會(huì)對(duì)中國(guó)住房和建設(shè)部網(wǎng)站進(jìn)行解釋,如果能碰巧解決你現(xiàn)在面臨的問題,別忘了關(guān)注本站,現(xiàn)在開始吧!本文目錄一覽: 1、怎么查詢工地經(jīng)濟(jì)糾紛公示牌 2、“建設(shè)部執(zhí)業(yè)證書”在哪些網(wǎng)站查詢? 3、請(qǐng)問住建部網(wǎng)站網(wǎng)址是多少? 怎么查詢工地經(jīng)濟(jì)糾紛公示牌 可以通過所...

虛擬形象動(dòng)作捕捉(虛擬形象動(dòng)作捕捉技術(shù))

虛擬形象動(dòng)作捕捉(虛擬形象動(dòng)作捕捉技術(shù))

今天給各位分享虛擬形象動(dòng)作捕捉的知識(shí),其中也會(huì)對(duì)虛擬形象動(dòng)作捕捉技術(shù)進(jìn)行解釋,如果能碰巧解決你現(xiàn)在面臨的問題,別忘了關(guān)注本站,現(xiàn)在開始吧!本文目錄一覽: 1、直播時(shí)的虛擬人物怎么設(shè)置的? 2、為什么我的抖音開直播沒有虛擬形象 3、騰訊會(huì)議怎么變身 4、小藝有虛擬形象嗎 5、vtube...

小程序制作一個(gè)需要多少錢(小程序制作一個(gè)需要多少錢作一個(gè)需要多少錢)

小程序制作一個(gè)需要多少錢(小程序制作一個(gè)需要多少錢作一個(gè)需要多少錢)

本篇文章給大家談?wù)勑〕绦蛑谱饕粋€(gè)需要多少錢,以及小程序制作一個(gè)需要多少錢作一個(gè)需要多少錢對(duì)應(yīng)的知識(shí)點(diǎn),希望對(duì)各位有所幫助,不要忘了收藏本站喔。 本文目錄一覽: 1、微信小程序開發(fā)一個(gè)多少錢 2、微信小程序開發(fā)多少錢做一個(gè)? 3、微信小程序開發(fā)一般需要多少錢呢 4、做一個(gè)小程序需要多少費(fèi)用...

手機(jī)制作3d模型的軟件(手機(jī)能做3d模型的軟件)

手機(jī)制作3d模型的軟件(手機(jī)能做3d模型的軟件)

本篇文章給大家談?wù)勈謾C(jī)制作3d模型的軟件,以及手機(jī)能做3d模型的軟件對(duì)應(yīng)的知識(shí)點(diǎn),希望對(duì)各位有所幫助,不要忘了收藏本站喔。 本文目錄一覽: 1、手機(jī)上有哪些3d建模軟件 2、3d建模軟件哪個(gè)好 3、做3d模型的軟件都有那些 ?那些擅長(zhǎng)做人物模型? 4、有什么軟件可以在手機(jī)上面做3D動(dòng)畫...

在線申請(qǐng)注冊(cè)郵箱(申請(qǐng)注冊(cè)郵箱免費(fèi)注冊(cè))

在線申請(qǐng)注冊(cè)郵箱(申請(qǐng)注冊(cè)郵箱免費(fèi)注冊(cè))

本篇文章給大家談?wù)勗诰€申請(qǐng)注冊(cè)郵箱,以及申請(qǐng)注冊(cè)郵箱免費(fèi)注冊(cè)對(duì)應(yīng)的知識(shí)點(diǎn),希望對(duì)各位有所幫助,不要忘了收藏本站喔。 本文目錄一覽: 1、怎樣申請(qǐng)電子郵件注冊(cè)賬號(hào) 2、手機(jī)怎么注冊(cè)郵箱帳號(hào)申請(qǐng)? 3、手機(jī)郵箱怎么申請(qǐng)注冊(cè) 4、郵箱地址怎么注冊(cè) 5、怎么申請(qǐng)郵箱免費(fèi)注冊(cè) 6、怎樣申請(qǐng)...

教師簡(jiǎn)歷word模板(教師工作簡(jiǎn)歷模板范文)

教師簡(jiǎn)歷word模板(教師工作簡(jiǎn)歷模板范文)

本篇文章給大家談?wù)劷處熀?jiǎn)歷word模板,以及教師工作簡(jiǎn)歷模板范文對(duì)應(yīng)的知識(shí)點(diǎn),希望對(duì)各位有所幫助,不要忘了收藏本站喔。 本文目錄一覽: 1、應(yīng)聘教師個(gè)人簡(jiǎn)歷范文 2、教師的個(gè)人簡(jiǎn)歷范文 3、教師應(yīng)聘簡(jiǎn)歷范文3篇 4、簡(jiǎn)歷模板word個(gè)人簡(jiǎn)歷范本五篇 5、優(yōu)秀教師個(gè)人簡(jiǎn)歷 6、教師...