诈骗，跟生物的历史一样长，而且永远都会存在。每当人类拓展出一片新的生存环境，诈骗也立即随之而来生根发芽。如今，有了网络，由于不受地域和时间的限制，诈骗更能玩得花样百出，让人叹为观止，挑战的只有人的想像力，360天眼实验室的前一篇文章分析的巧妙操纵受害者的电信补卡攻击即为一例。但是，不管方法手段如何，利用的始终都是人性的弱点：恐惧和贪婪。

2015年末爆发了感染量过百万的“百脑虫”手机病毒，经过360移动安全团队深入的跟踪和分析，我们又发现了病毒的另一核心模块，此模块包括3个ELF系统文件configpppm、configpppi、configpppl和一个伪装成系统应用的核心apk文件以及一个configpppl.jar文件。我们发现这些模块都使用之前发现的conbb(configopb)执行命令。在新发现的模块中，病毒使用了更高超的技术，可以在用户毫无察觉的情况下修改短信内容恶意扣费，从而非法获益。

上月，受邀在C-SEC上海快递行业安全会议上做了关于无线安全威胁的议题分享。介绍了家庭级的无线网络薄弱环节及攻击方法，同时列举了乌云上因无线边界被突破，造成内网沦陷的诸多例子。后半部分，简要的介绍了企业级无线网络安全，可能因为受众人群及时间的关系，观众情绪不太高，所以我也没有展开。

路由器木马，其主要目标是控制网络的核心路由设备；一旦攻击成功，其危害性远大于一台主机被控。

如果仅仅在路由器上面防范该类木马，那也是不够的，有很多Linux服务器违规开放Telnet端口，且使用了弱口令，一样可以中招。下面我们就一起来回顾一起真实案例。

“白名单“，即一系列被信任的对象的集合，与”黑名单“对应，通常被用来实现”排除“类的逻辑。在安全领域中，”白名单“通常被用来优化对信任对象的分析逻辑或解决查杀、拦截逻辑所产生的误报等。

Android有一个特性，可以通过点击网页内的某个链接打开APP，或者在其他APP中通过点击某个链接打开另外一个APP（AppLink），一些用户量比较大的APP，已经通过发布其AppLink SDK，开发者需要申请相应的资格，配置相关内容才能使用。这些都是通过用户自定义的URI scheme实现的，不过背后还是Android的Intent机制。Google的官方文档《Android Intents with Chrome》一文，介绍了在Android Chrome浏览器中网页打开APP的两种方法，一种是用户自定义的URI scheme（Custom URI scheme），另一种是“intent:”语法（Intent-based URI）。

这学期我得到了一个微软智能手环作为项目研究目标。最初的项目目标并不是太难：只是去理解客户端的通信方式。因此我决定寻求乐趣，我决定尝试pwn掉它。在这里我想要感谢远在OSIRIS实验室的朋友给我提供的支持，我的伴侣也一直默默支持着我。当然，需要感谢的还有我的导师，mongo，他启发了我，教会了我很多，对此我表示由衷地感谢。

最近CaseySmith@subTee分享了一个好玩儿的技巧，利用sct文件来实现的持久机制。 我对此也很感兴趣,于是对相关的内容作了研究学习，在学习过程中Casey Smith又教会了我很多，学会了一个绕过应用程序白名单的技巧，所以在此将学到的知识整理一下。

本文是一篇关于.NET Remoting安全的科普文，在文章中会使用一个简单的 RCE 漏洞和提权案例进行说明。

Geolocation API被用来获取用户主机设备的地理位置，并且它有一套完整的保护用户隐私的机制。但CVE-2016-1776这个漏洞，绕过了Geolocation认证源的安全机制，并有可能导致用户隐私泄漏。本文在分析CVE-2016-1779漏洞成因的基础上探讨了Geolocation隐私机制，其中穿插的获取苹果公司的地理位置的“故事”，对用户隐私更是一个警醒。

Hacking Team 是一个协助政府hack和监视记者、政治家等的公司（详见段尾链接），当然有时候也会监控恐怖分子和罪犯。其CEO——Vincenzetti——很喜欢在他的邮件末尾加上一句纳粹标语“boia chi molla” (放弃者该死)，同时，他一直宣称拥有可以解决“Tor 问题”和“暗网问题”的技术。但是我一直很怀疑他的那种技术的有效性。

本文将对CVE-2016-0059进行深度分析，该漏洞是由于微软超链接对象库内存数据泄露造成的，成功利用该漏洞可以获得一些信息从而对用户系统造成进一步威胁。要利用该漏洞，攻击者必须诱导用户点击一个email里的或者一个office文档里的超链接。

最近看了一篇文章GitHub's CSP journey，作者是GitHub工程师Patrick Toomey，文中分享了GitHub在 应用CSP (Content Security Policy) 上一些经历和踩过的坑，并给出了一些实际的案例来说明策略设置的原因，很具有参考意义。

App劫持是指执行流程被重定向，又可分为Activity劫持、安装劫持、流量劫持、函数执行劫持等。本文将对近期利用Acticity劫持和安装劫持的病毒进行分析。

由于还没有找到一款比较适合批量检测sql注入点的工具（proxy+sqlmapapi的方式批量检测之类的批量sql注入点检测），我的目光就转向了sqlmap。虽然sqlmap没有支持伪静态注入点的测试(需要手动添加注入标记)，由于是python写的，可以快速方便的进行二次开发。