在阿里聚安全的漏洞扫描器中和人工APP安全审计中，经常发现有开发者将密钥硬编码在Java代码、文件中，这样做会引起很大风险。信息安全的基础在于密码学，而常用的密码学算法都是公开的，加密内容的保密依靠的是密钥的保密，密钥如果泄露，对于对称密码算法，根据用到的密钥算法和加密后的密文，很容易得到加密前的明文；对于非对称密码算法或者签名算法，根据密钥和要加密的明文，很容易获得计算出签名值，从而伪造签名。

前一段时间学习一小部分内网的小笔记，http://zone.wooyun.org/content/26415

结果没想到好像还是比较受欢迎，也是第一次被劈雷。最近办比赛遇上了rookit种植，感觉很无奈，所以自己也就研究了一下，内容都是一些以前的技术，也是为下面的笔记再次增加一章(windows下的域权限维持可以多看看三好学生师傅的文章)。大牛飘过。

360天眼实验室追日团队持续发现与跟踪APT活动，相关的样本、IP、域名等数据只要一出现就会立即进入我们的视线。5月10日VirusTotal上有人提交了一个样本，安博士标记为DarkHotel相关。

前段时间偶然学习了这篇文章：

https://sploitfun.wordpress.com/2015/02/10/understanding-glibc-malloc/comment-page-1/

我们常说的漏洞挖掘,大致可以分为两种模式:白盒、黑盒.

1.白盒,又称透明盒测试,指我们清楚的了解程序的逻辑,获得设计思路,说明文档,源代码的情况下进行的测试.

我们都知道在获得了测试系统的管理员权限后，维持这个管理员权限的方法有很多，常见的如安装服务、驱动、利用wmi等等。

我在最近的研究过程中，结合学到的新知识，想到了一个有趣的方法———通过劫持系统程序，每当用户确认UAC允许系统程序(如regedit)运行时，测试程序(calc.exe)随即获得了管理员甚至是system权限。

Jphide是基于最低有效位LSB的JPEG格式图像隐写算法，使用JPEG图像作为载体是因为相比其他图像格式更不容易发现隐藏信息，因为JPEG图像在DCT变换域上进行隐藏比空间域隐藏更难检测，并且鲁棒性更强，同时Blowfish算法有较强的抗统计检测能力。

三个白帽在线挑战平台，集WEB和二进制挑战于一身，以在线挑战的形式把网络安全相关领域白帽子的技术和智慧淋漓尽致地展现出来，为白帽子们搭建了一个非常完美、和谐的在线交流平台，使得白帽子之间可以融洽地施展绝技、交流创意和想法。一次一次的挑战让白帽子们大饱眼福、乐在其中，让大家脑洞大开，并且收获满满，同时回味无穷！

在2015年我们监控到一个针对朝鲜语系国家的组织，涉及政府、交通、能源等行业攻击的APT组织。通过我们深入分析暂未发现该组织与Lazarus组织之间有联系。进一步我们将该组织2013年开始持续到2015年发动的攻击，命名为“洋葱狗”行动（Operation OnionDog），命名主要是依据2015年出现的木马主要依托onion city【6】作为C&C服务，以及恶意代码文件名有dog.jpg字样。相关恶意代码最早出现在2011年5月左右。至今至少发起过三次集中攻击。分别是2013年、2014年7月-8月和2015年7月-9月，在之后我们捕获到了96个恶意代码，C&C域名、IP数量为14个。

攻击者通过 Google Docs 传播 Trojan.Laziok 木马，过程中使用 PowerShell，从 Google Docs 下载木马、绕过反病毒软件

CSRF全称Cross Site Request Forgery，即跨站点请求伪造。我们知道，攻击时常常伴随着各种各样的请求，而攻击的发生也是由各种请求造成的。

从前面这个名字里我们可以关注到两个点：一个是“跨站点”，另一个是“伪造”。前者说明了CSRF攻击发生时所伴随的请求的来源，后者说明了该请求的产生方式。所谓伪造即该请求并不是用户本身的意愿，而是由攻击者构造，由受害者被动发出的。

如今物联网 RFID系统已经完全融入了我们的生活当中. 从楼宇门禁到 Apple Pay. 可以说其身影是无处不在.很多网友也分享了自己对RFID系统的安全测试心得.不过大多还是基于门禁卡和 Mifare-Classic 而言. 实际上在 Mifare 系列的大家族中还有着许多其他类别. 比如 Mifare-DESFire 和本文的主角 Mifare-Ultralight.

人在做，天在看。

勒索软件，飘荡在互联网上越来越浓的一片片乌云，从中爆发出的闪电随时可能击中一般的用户。基于比特币的匿名支持体系使勒索软件这个商业模式轻松完成了闭环，各种数字绑票生意开始蓬勃兴起，而Locky勒索软件家族可能是其中最贪婪粗放的一个，漫天撒网以期最大范围地捞取不义之财。

最近学习了lcx提供的资料《利用wsc来做一个asp后门》，在了解了wsc文件的一些特性后，产生了一个有趣的想法：

如果将其与JSRAT和WMI Backdoor相结合，那将会有多大的威力呢？

ImageMagick是一款使用量很广的图片处理程序，很多厂商都调用了这个程序进行图片处理，包括图片的伸缩、切割、水印、格式转换等等。但近来有研究者发现，当用户传入一个包含『畸形内容』的图片的时候，就有可能触发命令注入漏洞。