wnagzihxa1n

wnagzihxa1n

iOS/Android Security

© 2021

大土豆安全笔记 2020.09.29 谢谢各位

跟各位道个别,个人原因,以后菜栏不再更新

真心感谢两百四十八位读者朋友的支持,本月底我会清空掉所有关注的读者

今天不谈技术,最后闲聊一次吧

我算是一个话比较多的人,一个搞二进制的,话这么多,不知道是不是少见,我印象中搞二进制的朋友大多都比较内向

突然发现我跟安全圈的关系挺有趣,跟刷SRC的小白帽不熟,跟刷CTF的赛棍不熟,跟刷安全会议的会棍不熟,零星认识一些大佬,也都散落在各个安全团队里,这里就不列出来了,一只手就可以数过来

你说我搞移动安全,那些Web圈的不认识也就算了,然而移动圈的我也不怎么熟,这就很尴尬了

这不行啊,我这一肚子话没有群可以吹啊,所以这个菜栏就出现了

我记得去年还是前年,有人统计了安全圈活跃的技术博主,我翻了三遍没有看到我,我一个保持周更安全笔记,偶尔还带两篇高质量漏洞分析的人竟然上不了榜,罢了罢了

想想也是,我连微博都注销掉了,平时也就推上面看看师傅们转发的安全资讯,一个如此躁动的人就这样活生生的被遗忘了

我的安全生涯也暂时到这里了,接下去先专心减肥,人一胖就出现各种问题,大家真的要注意,千万别胖

把秋天的第一杯奶茶,换成茶

我以前太局限了,把自己限定在安卓应用的漏洞领域里,其实业务安全可以玩的更有趣

这段时间换了点有意思的方向扩展下眼界,看了很多文章,走了不少弯路,一个重要方向就是风控,我认识的一些朋友都去搞了风控相关,跟钱相关的就是好玩

《欢迎来到风控时代》

  • https://www.zhihu.com/roundtable/risk

口碑不错的《风控要略》,我还没看,国庆的时候仔细读一读

IMAGE

有个哥们写了个Instagram的RCE分析,我一直想搞这种类型的漏洞,精力有限,业务这一块搞的精疲力尽,不知道明年有没有空整一下安全研究,各位老板带带我

  • https://research.checkpoint.com/2020/instagram_rce-code-execution-vulnerability-in-instagram-app-for-android-and-ios/

Android WebView的UXSS,我个人对XSS这种类型的漏洞没啥兴趣,现在逻辑漏洞比较吃香,内存破坏也还行

  • https://alesandroortiz.com/articles/uxss-android-webview-cve-2020-6506/

剩下的大家有洞修洞,没洞的看个热闹

火狐浏览器在局域网可被远程打开任意网页,这里的打开网页只是一个示例,它其实是发送Intent来触发行为,所以第一个Poc视频展示的是打开拨号界面​

  • https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/tree/master/firefox-android-2020

最近医院跑的勤,状态不太好,搞不动那么多东西了,大家凑合着看,我一不开广告,二不接推广,三没有付费,天天高质量不可能的,各位就当每末看个消遣

真舍不得数字的食堂