android应用中，如果某个组件对外导出，那么这个组件就是一个攻击面。很有可能就存在很多问题，因为攻击者可以以各种方式对该组件进行测试攻击。但是开发者不一定所有的安全问题都能考虑全面。

互联网账号泄露事件频发，脱库、洗库、撞库，形成了一条完善的黑灰产业链，盗刷信用卡、“羊毛党”猖獗、刷单炒信等业务风险背后，如何去防范，阿里聚安全专家笙华为你支招。

移动App是大家使用手机每天接触最多的东西，然而在移动APP开发中，由于一些开发工程师对安全的不重视，导致APP中出现漏洞风险，比如App被逆向、重打包，数据在存储或传输过程中泄露，系统漏洞被利用，逻辑漏洞被绕过等等，本课程，阿里安全专家阿刻为你解读移动App安全那些事。

《阿里聚安全2016年报》发布，本报告重点聚焦在2016年阿里聚安全所关注的移动安全及数据风控上呈现出来的安全风险，在移动安全方面重点分析了病毒、仿冒、漏洞三部分，帮助用户了解业务安全端安全方面应该注意的风险，之后会描述阿里聚安全在业务安全防控方面做的一些努力和观点，帮助企业在建设互联网业务安全时，考虑...

来自安全公司Dr.Web的研究人员说，最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期，阿里聚安全检测到大量新型BankBot家族木马，木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用，可劫持全球至少50家大型银行手机用户。

无论是逆向分析还是漏洞利用，我所理解的攻防博弈无非是二者在既定的某一阶段，以高维的方式进行对抗，并不断地升级维度。比如，逆向工程人员一般会选择在Root的环境下对App进行调试分析，其是以root的高权限对抗受沙盒限制的低权限；在arm64位手机上进行root/越狱时，ret2usr利用技术受到PXN机制的约束，厂商从修改硬件...

在刚刚过去的2017年2月23日，Cryptology Group at Centrum Wiskunde & Informatica (CWI)和Google的研究人员公开了2个PDF文件，我也第一时间下载并按提示检查了SHA-1的校验值。文件内容和SHA1的结果如图1所示。

Web防火墙是信息安全的第一道防线。随着网络技术的快速更新，新的黑客技术也层出不穷，为传统规则防火墙带来了挑战。传统web入侵检测技术通过维护规则集对入侵访问进行拦截。一方面，硬规则在灵活的黑客面前，很容易被绕过，且基于以往知识的规则集难以应对0day攻击；另一方面，攻防对抗水涨船高，防守方规则的构造和维...

KDD（Knowledge Discovery and Data Mining，知识发现与数据挖掘）会议，作为数据挖掘届的顶会，一直是算法爱好者心中的圣地麦加。

这一年你有没有遇到过语音识别，图文识别、人脸识别安全，机器人服务员、无人机驾驶等等。在机器学习或者人工智能领域,人们首先会考虑算法的学习方式。在 AlphaGo 与李世石的「人机大战」中，AlphaGo 的胜利算法起到了核心作用，也让我们看到的算法的强大能力。而 AlphaGo 又在不久前超越柯洁，登顶世界围棋第一。

直播作为近来新兴的互动形态，已经成为近几年最风生水起的行业之一。在2016年仿佛进入了“千团大战”的繁华。欢聚时代10亿砸向虎牙和ME直播，斥资1亿签下主播MISS；腾讯4亿投资斗鱼，后者估值10亿美元；新成立的映客获得昆仑万维、复赛等机构的8000万人民币投资；易直播获得6000万人民币A轮融资；360推出花椒、秒拍推出一...

要求在ARM 64位Android手机上攻击成功，也可在模拟器（运行Google官方Android SDK提供的Google APIs ARM64 Android 7.0镜像）中攻击成功，其中镜像会打包提供，参见题目下载链接。模拟器执行命令参考如下：(qemu-system-aarch64 -sysdir . -datadir . -kernel kernel-qemu -system system.img -ramdisk ramdisk.img -dat...

直播作为近来新兴的互动形态和今年阿里巴巴双十一的一大亮点，其内容风险监控是一个全新的课题，技术的挑战非常大，管控难点主要包括业界缺乏成熟方案和标准、主播行为、直播内容不可控、峰值期间数千路高并发处理、对算法的高实时响应要求等等。

进攻即是最好的防御，这句话同样适用于信息安全的世界。这里罗列了19个合法的来练习黑客技术的网站，不管你是一名开发人员、安全工程师、代码审计师、渗透测试人员，通过不断的练习才能让你成为一个优秀安全研究人员。以下网站希望能给各位安全小伙伴带来帮助！若有其他的补充和推荐，欢迎给小编留言（排名不分先后）

iOS security is far more fragile than you believe. And there are lots of critical and exploitable iOS vulnerabilities in the wild. We summarized these critical iOS vulnerabilities which can be used for remote code execution or jailbreaking in this report. Hopefully, it can bring some help for you...

iOS的安全性远比大家的想象中脆弱，除了没有公开的漏洞以外，还有很多已经公开并且可被利用的漏洞，本报告总结了2016年比较严重的iOS漏洞（可用于远程代码执行或越狱），希望能够对大家移动安全方面的工作和研究带来一些帮助。

阿里聚安全根据《国家信息安全漏洞库（CNNVD）技术支撑单位计划指南》相关规定，向国家信息安全漏洞库（CNNVD）运行管理中心，提交“阿里巴巴（中国）网络技术有限公司”为主体申请成为“CNNVD技术支撑单位”的公司。

随着软件系统越来越复杂，软件漏洞变得无法避免。业界逐渐推出了让漏洞无法利用或利用难度提高的方法，简称漏洞缓解技术。我们简单介绍下Android和iOS中广泛使用的一些漏洞缓解及可能的绕过技术。当然这里也包含一些相关联的安全限制，而非真正意义的缓解技术。

在这个移动互联网大行其道的年代，人们不用互相见面就可以完成很多事情，比如社交、购物、网上开店、金融交易等等，但是如何验证身份变成了人和人在不见面的情况下最难的事情。传统的解决方案就是密码或者秘钥，它需要你记住或者存起来，容易忘又容易丢，还容易被黑客利用各种手段攻击。有多少人使用“123456“这种简单密...

众所周知，虽然JavaScript是个很灵活的语言，浏览器里很多原生的方法都可以随意覆盖或者重写，比如alert。但是为了保证网页的安全性和网页制作者的一定控制权，有些浏览器对象是无法更改的，比如“window.location”对象，或者对它们的更改是无效的，比如”window.navigator”对象。然而，最近我发现Chrome出现了一个小“bug”...

同时，阿里聚漏洞扫描器有一个检测项叫未使用地址空间随机化技术, 该检测项会分析APP中包含的ELF文件判断它们是否使用了该项技术。如果APP中存在该项漏洞则会降低缓冲区溢出攻击的门槛。

“阿里聚安全攻防挑战赛” 已成功举办过两届，并逐渐成为安全行业经典赛事品牌，本届更是推出史上最强权威导师助阵，是业界不可错过的年度盛事！挑战赛主要让参赛选手真实的挑战阿里巴巴移动安全和业务安全的防御。本次挑战赛奖励丰厚，总奖金累计20万，还有定制礼品等你来拿！

折腾了一段时间的Android加固，看了很多大牛的文章，收获还是蛮大的，不过好像大部分的文章都是直接写在哪里下断点如何修复之类的，写出如何找到这个脱壳点的文章还是比较少，所以我准备整理一下这部分的知识，讲讲如何找到脱壳点，希望能和大家多交流

如果你是网络安全从业人员，其中重要的工作便是了解安全行业的最新资讯以及技术趋势，那么浏览各大安全博客网站或许是信息来源最好的方法之一。最近有国外网站对50多个互联网安全博客做了相关排名，小编整理其中排名前30的安全博客，希望能给大家带来一些帮助。

本次沙龙的主要议题是分享互联网业务安全趋势及应对方案、技术实践深度解析等等。当然还有现场互动问答环节，不仅可以解决困扰各位的疑难杂症，还能了解到阿里安全最新的技术知识，一起边学边玩，精彩不容错过！

众所周知，在XSS的实战对抗中，由于防守方经常会采用各种各样严格的过滤手段来过滤输入，所以我们使用的XSS Payload也会根据实际情况作出各种各样的调整，最常见的如避免括号，避免引号，避免关键字等，以绕开过滤函数的检查，从而成功将代码注入到网页中运行。

看完《验证码的前世今生（前世篇）》也许第一感觉就是Winter is coming，互联网的人机对抗到了最黑暗的时刻。柳暗花明又一村，最黑暗的时刻也是光明即将来临的时刻——在传统验证码的末日新的反向图灵测试机制浴火重生。

常在网上晃悠的人，对上面这张图都不会陌生。特别是在注册新账号、确认交易时，它们都会频繁出现，要求我们输入正确的验证码，那这些看上去跟我们要做的事情完全无关的验证码到底有何作用呢？​

现今，技术引领的商业变革已无缝渗透入我们的日常生活，「技术改变生活」的开发者们被推向了创新浪潮的顶端。国内知名的开发者技术社区 SegmentFault 至今已有四年多了，自技术问答开始，他们已经发展成为一个问答、专栏、笔记、头条以及线下活动等多产品线的技术交流平台。到目前为止，SegmentFault 已成功举办 40 多场...

大家肯定知道前几天刚爆出来一个linux内核(Android也用的linux内核)的dirtycow漏洞。此洞可以说是个神洞，通过dirtycow，一个普通权限的app可以做到root权限的文件任意写，随后还可以转化为android上的通用root。就在大家纷纷埋头研究dirtycow的时候，Drammer横空出世，号称也可以root最新版的Android 6.0.1，同时还放出...