Blogs

AI繁荣下的隐忧——Google Tensorflow安全风险剖析

由 Cradmin

March 6, 2019

我们身处一个巨变的时代,各种新技术层出不穷,人工智能作为一个诞生于上世纪50年代 的概念,近两年出现井喷式发展,得到各行各业的追捧,这背后来自于各种力量的推动,诸如深度学习算法的突破、硬件计算能力的提升、不断增长的大数据分析需求等。从2017年的迅猛发展,到2018年的持续火爆,国内外各个巨头公司如腾讯、阿里、百度、Google、微软、Facebook等均开始在人工智能领域投下重兵,毫无疑问,这一技术未来将会深度参与我们的生活并让我们的生活产生巨大改变:人工智能时代来了!

拒绝超长函数,从两个curl远程漏洞说起

由 LeowxQian

February 15, 2019

Tencent Blade Team在代码审计过程中发现了curl中存在两个可以通过NTLM远程触发的漏洞。这两个漏洞存在于curl在处理Type-2和Type-3消息的逻辑中。

军备竞赛:DDoS攻击防护体系构建

DDoS攻击(Distributed Denial of Service,分布式拒绝服务攻击)的历史可以追溯到1996年(还记得经典的Ping of Death吗),互联网技术飞速发展了二十多年,DDoS的攻击手法也在不断演进,目前它仍然是最活跃的黑客攻击方式之一:每天互联网都会发生不计其数的DDoS攻击 —— 这种攻击方式简单粗暴直接有效,深受攻击者们的青睐。

四两拨千斤 —— Ubuntu kernel eBPF 0day分析

由 Cradmin

October 25, 2018

中国武术博大精深,其中太极作为不以拙力胜人的功夫备受推崇。同样如果从攻击的角度窥视漏洞领域,也不难看出攻防之间的博弈不乏“太极”的身影,轻巧稳定易利用的漏洞与工具往往更吸引黑客,今天笔者要着墨分析的就是这样一个擅长“四两拨千斤”的0day漏洞。 

解锁更多姿势——手机锁屏安全研究

由 Nicky

August 7, 2017

随着手机功能越来越多,其在我们生活中扮演的角色也越来越重要,除了保存传统的通讯录、短信、照片等个人隐私,现在的手机还是一个支付工具,如果手机被盗用,手机锁屏密码就是保证大家数据和资金安全的第一道屏障。我们最近也研究和总结了一些手机解锁的新老姿势的安全性,在此分享给大家,欢迎大家上车一起交流。

CVE-2016-6771: Android语音信箱伪造漏洞分析

由 Xbalien

December 12, 2016

谷歌近期对外公布了12月份的安全公告,其中包含腾讯安全平台部终端安全团队提交的语音信箱伪造漏洞(CVE-2016-6771),该漏洞可导致恶意应用进行伪造语音信箱攻击。目前谷歌已经发布补丁,本文将对该漏洞进行分析。

移动APP漏洞自动化检测平台建设

本文是《移动APP客户端安全笔记》系列原创文章中的第一篇,主要讲的是企业移动APP自动化漏洞检测平台建设,移动APP漏洞检测发展史与前沿技术,APP漏洞检测工具与平台,以及笔者的一些思考。希望能对移动App自动化漏洞检测感兴趣的同学有所帮助,限于笔者技术水平与文章篇幅,有些内容暂没有逐一详细分析,后续我争取多学习多分享,在此也欢迎大家指点和交流。

自研之路:腾讯漏洞扫描系统的十年历程

在业务的生命周期里面,测试阶段——不管是上线前测试还是上线后测试都是安全团队的重要战场,历来为兵家必争之地,所以这里成就了漏洞扫描系统(这里指系统和Web漏洞)。漏洞扫描系统的市场非常火爆,很多安全公司都出售自己的漏洞扫描设备或者提供远程漏洞检测服务。