【文章传送门】安全客2017季刊-第4期,你想要的干货全都有!
前面的话
昨天我们发布了安全客2017年季刊-第4期,几个小时之后,后台就被读者的留言淹没了,有赞美的有提意见的,小编从中精选了五位安全客季刊的资深读者留言,他们在看过这次的季刊之后,有什么样的收获与体验,哪篇文章是他们的最爱,是最想推荐给大家的呢?下面,我们就一起来听听他们的“读后感”吧。
资深读者阅读分享
读者ID:Ghost unicorn
推荐文章《对深度学习的逃逸攻击 ——探究人工智能系统中的安全盲区》
作者:肖学奇、许伟林、李康@360 Team Seri0us
文章来源:【安全客】https://www.anquanke.com/post/id/87037
随着人工智能越来越火,很多人工智能与实体业的结合落地,对于人工智能算法大部分都用卷织神经算法,对于它的框架开源的安全性也有待研究,对于算法不同于数学科学的严谨,做不到百分之百的学习识别,便产生了漏洞,逃逸攻击也会随着人工智能的发展越来越深入,对于不法人员也会因为人工智能的普及网逃逸攻击发展,对于未来世界的安全,还需针对这一不可抗力的算法,进行有规范有规则的大量测试,未来世界上人工智能,我们也要对人工智能的安全负责!查理芒格有句话说的好“假如你知道以后你死亡的地点,你还会去那个地方么?”这句话和人工智能的盲区一样,值得深思!
读者ID:HackPwn
推荐文章《WPA2 KRACK Attacks 分析报告》
作者:360 天马安全团队
文章来源:【安全客】https://www.anquanke.com/post/id/87023
如今WIFI无处不在,WPA2的这个KRACK漏洞虽然没有WEP漏洞和无线路由器的WPS漏洞影响大,但也对用户造成不小的威胁,攻击者可以根据合法SSID伪造出一个同名的钓鱼WiFi,并利用KRACK漏洞迫使无线客户端连接到这个伪造的钓鱼WiFi上,这样攻击者就可以对无线客户端的网络流量进行嗅探、篡改,从而得到各类网站的登陆账号和密码。网上到处都是关于KRACK漏洞的新闻,让一些不明真相的人以为是WPA2加密出现了漏洞,报告中也说明了这个漏洞是利用的WPA协议层中的逻辑缺陷,WPA2加密协议本身还是安全的,用户也不用着急去修改自己的WiFi密码。这篇分析报告很科普,同时也解答了很多人心中的疑惑,是一篇很棒的分析报告。
读者ID:Snowflake
推荐文章《钓鱼邮件威胁检测实战及典型样本分析》
作者:360 Meshfire Team
文章来源:【安全客】https://www.anquanke.com/post/id/88145
邮箱是钓鱼爱好者喜欢聚集的地方,邮箱钓鱼的场景也在黑客电影《我是谁 没有绝对安全的系统》中出现过。无论对个人用户还是企业、组织来说,钓鱼邮件攻击都是最为严重的安全威胁之一,很多APT攻击事件中,攻击者都是通过邮件钓鱼的方式渗透到攻击目标的内部网络中,文章开始简单介绍了邮件威胁防护的总体思路、邮件威胁检测的理论依据、钓鱼邮件检测流程,最后详细讲解了一个实战经历,实战经历中又详细介绍了 对钓鱼邮件样本的分析,这是一篇难得的关于介绍钓鱼邮件威胁检测的文章,值得我们仔细研读,好好理解。
读者ID:藏形匿影
推荐文章《深度剖析:手机指纹的马奇诺防线》
作者:小灰灰@百度安全实验室
文章来源:【Seebug】https://paper.seebug.org/471/
文章非常详尽的分析了市面上的各种手机指纹识别方案和技术实现,以及讲述了如何有效对这些活体识别手机指纹识别系统进行成功破解,通过实例让我们了解到其实现在市面上的手机指纹识别并没有厂商宣称的那么安全,本文非常值得阅读和学习收藏,感谢作者对这项技术的深入研究和分享,期待出更多好文章。
读者ID:黯夏子风
推荐文章《Android Accessibility 点击劫持攻防》
作者:瘦蛟舞@小米安全
文章来源:【小米】https://sec.xiaomi.com/article/36
劫持是攻击竞品app的很有效的方式,相对应的,对于劫持的防护也变得越来越重要。以此延伸出对于安卓手机的攻击,各种隐私信息将被泄露和盗取。文章从劫持的分析入手,深入剖析了原理并对应的给出了防御思路和解决方案。不管是从阻止AccessibilituNodeInfo的操作过滤还是增加对调用方包名的签名验证,亦或是Service中转,我们的思路都是通过修改自身或者增加验证使得攻击方无法执行模拟点击操作。反过来说,对于攻击方,理论上同样可以增加类似的验证绕过或者更多的劫持思路。攻防之路曼曼,共同update才能共同进步。
投稿及联系方式
在线投稿:https://www.anquanke.com/contribute/tips.html
联系电话:010-52447914(工作日10:00-19:00)
评论