腾讯安全响应中心

腾讯安全响应中心订阅源

4952人订阅
利用符号执行去除控制流平坦化 本文主要针对x86架构下Obfuscator-LLVM的控制流平坦化,但最重要的是去除控制流平坦化过程中的思路,同时当函数比较复杂时可能速度会有点慢。有时间会以此为基础尝试分析伪造控制流、指令替换和VM等软件保护手段,另外符号执行也可以应用于漏洞挖掘领域,例如借…
CVE-2016-7595 Apple macOS/iOS CoreText OTL::GPOS::ApplyPairPos 越界访问漏洞分析 2016年12月的Apple安全公告中,修复4个由腾讯安全平台 部终端安全团队报告的漏洞,其中有2个是字体解析造成的越界访问漏洞,影响 macOS/iOS/watchOS/tvOS等多个平台系统,本文主要分析其中的…
CVE-2016-6771: Android语音信箱伪造漏洞分析 谷歌近期对外公布了12月份的安全公告,其中包含我们团队提交的语音信箱伪造漏洞(CVE-2016-6771),该漏洞可导致恶意应用进行伪造语音信箱攻击。本文将对该漏洞进行分析。
移动APP漏洞自动化检测平台建设 本文是《移动APP客户端安全笔记》系列文章中的第一篇,主要讲的是移动App漏洞检测发展历史,漏洞检测平台与工具,自动化漏洞检测平台构建以及笔者的一些思考。希望能对移动App自动化漏洞检测感兴趣的同学有所帮助。
phpMyAdmin SQL注入漏洞(CVE-2016-5703)分析 phpMyAdmin是一个web端通用MySQL管理工具,上述版本在central_columns.lib.php文件里的db参数存在sql注入漏洞,攻击者利用此漏洞可以获取数据库中敏感信息,进一步攻击甚至可以执行任意命令
驱散前端安全梦魇——DOMXSS典型场景分析与修复指南 在防御和消灭DOM XSS漏洞的斗争一线,希望Web前端工程师们树立起安全的开发意识,与广大运维安全人员携手,将DOM XSS漏洞消灭在萌芽之中。驱散前端安全梦魇,保护用户安全。
Hack Redis via Python urllib HTTP Header Injection 利用python urllib http头注入对内网未授权redis服务进行getshell的实践
浅谈iOS应用安全自动化审计 Android应用的审计技术已经于相对成熟,而iOS应用审计系统在国内还是比较欠缺的。我们专门研发了一款针对iOS应用的自动化审计系统。除日常的应用审计外,也是希望它能够在安全应急上起到辅助的作用。本文主要是对这部分技术进行一些粗浅的探索。
利用 Java Binary Webshell 对抗静态检测 在大型互联网企业生产环境中,Webshell检测无疑是反入侵的一大重点工作,其中静态检测又是常用手段之一。深入分析各类web容器,我们发现静态检测存在各种先天的缺陷。本文介绍一种利用Java…
315晚会报道的无人机是怎么被劫持的? 你一定有关注到央视315晚会上的高大上的无人机劫持演示吧。是的,无人机是可以被劫持的,那么这次的劫持无人机技术上是如何实现呢?飞机汽车坦克可以被劫持吗?同类的智能设备有没有类似问题?……且听315晚会的无人机劫持演示者、腾讯安全专家Gmxp娓娓道来。