文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

窃取Facebook用户信息:利用Android同源策略漏洞的恶意应用被发现

几个月前我们曾研究过Android同源策略(SOP)的漏洞,然而最近出现了一款利用此漏洞对Facebook用户进行攻击的恶意应用,其利用代码基于已公开的Metasploit测试代码。...由于这个问题的特殊性和可能潜在影响,浏览器对此都有非常严格的管理模式,在现在的浏览器中很少能发现同源策略(SOP)绕过。...相关阅读:Android(4.4版本以下)浏览器同源策略绕过漏洞 攻击过程 攻击是通过向某个特定Facebook网页引用恶意网站的链接来实现的。 此网页包含恶意的Javascript代码: ?...黑莓官方由此发布了以下声明: “这款恶意软件的攻击对象为Facebook用户,其使用了Android同源策略绕过漏洞,且无视移动设备平台类型。...Google目前已经修复了这个Android同源策略漏洞。然而不是所有的用户都会去升级浏览器或安卓系统版本。因此除非设备的供应商能发布相应补丁,不然用户仍会处于威胁之中。

1.1K80
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    iptables 在 Android 抓包中的妙用

    背景 昨天在测试一个 Android APK 的时候发现使用 WiFi 的 HTTP 代理无法抓到包,在代理的日志中没有发现任何 SSL Alert,因此可以判断不是证书问题;另外 APP 本身仍可以正常收发数据...and another one who knows iptables” — Jérome Petazzoni (@jpetazzo) June 27, 2015 不过实际上社区对 iptables 的抱怨更多是在多用户系统中规则配置冲突以及由此引发的艰难调试之旅...netlink 套接字中,从而可以让用户态的抓包程序获取并进行进一步分析。...,甚至不需要引入 VPN Service 等其他应用,只需要一行命令即可实现针对单个 Android 应用的全局 HTTP/HTTPS 抓包。...总结 本文主要介绍了 iptables 规则的配置方法,并且实现了一种在 Android 中全局 HTTP(S) 抓包的方案,同时借助 owner 拓展实现应用维度的进一步过滤,从而避免手机中其他应用的干扰

    1.9K30

    MSSQL中的传统登录用户模型 & 包含的数据库用户模型

    用户也可以同时提供名称和密码,并通过使用 SQL Server 身份验证进行连接。 在这两种情况下,master 数据库必须拥有匹配连接凭据的登录名。...若要连接到某个用户数据库,登录名必须映射到(即关联)用户数据库中的某个数据库用户。 连接字符串还可以指定连接到特定数据库,该数据库在 SQL Server 中为可选但在 SQL 数据库中为必需。...重要原则是登录(在 master 数据库中)和用户(在用户数据库中)必须存在,并且彼此相关。 与用户数据库的连接依赖于 master 数据库中的登录。...包含的在包含的数据库用户模型中,master 数据库中不存在登录。 相反,身份验证过程发生在用户数据库中。 用户数据库中的数据库用户在 master 数据库中没有关联的登录。...如果另一个数据库中存在相同的用户,SQL Server 中的包含的数据库用户可以更改数据库。

    78110

    2023最受欢迎的20款渗透测试工具

    比如想要某个女生的 Twitter 帐号,直接随便拿一张她的照片和一些姓名或者昵称进去搜索即可。...项目地址:github.com/OWASP/QRLJac QRLJacking 攻击流程 攻击者初始化客户端 QR 会话,然后将登录 QR 代码克隆到网络钓鱼网站中:“现在,精心制作的网络钓鱼页面具有有效且定期更新的...为 termux 和其他 Android 终端开发的 Tool-X。使用 Tool-X,您可以在 termux 应用程序和其他基于 Linux 的发行版中安装近 370 多种黑客工具。...Scraper 该机器人可抓取 Facebook 用户个人资料的几乎所有内容,包括用户时间轴上可用的所有公共帖子/状态,上传的照片,带标签的照片,视频,朋友列表及其个人资料照片(包括关注者,关注者,工作朋友...项目地址:github.com/harismuneer/ 特征 抓取 Facebook 用户个人资料几乎所有内容: 上传的照片 标记的照片 影片 朋友列表及其个人资料照片(包括关注者,被关注者等) 以及用户时间轴上所有可用的公开帖子

    1.7K10

    用户和组账号概述 Linux基于用户身份对资源访问进行控制 用户帐号: 超级用户root、普通用户、 程序用户 超级用户,即root用户,类似于Windows系统中的Administrator用户

    ,非执行管理任务时不建议使用root用户登录系统 普通用户帐号一般只在用户自己的宿主目录中有完全权限 程序用户:用于维持系统或某个程序的正常运行,一般不允许登录到系统。...字段2:用户密码字串或者密码占位符“x” 字段3:用户帐号的UID号 字段4:所属基本组帐号的GID号 字段5:用户全名 字段6:宿主目录 字段7:登录Shell信息 用户账号文件...展示/etc/passwd、/etc/shadow文件中的变化 说明:使用adduser命令也可以添加用户帐号,在RHEL5系统中adduser命令实际上是useradd命令的符号链接...用户名 常用命令选项 -d:清空用户的密码,使之无需密码即可登录 -l:锁定用户帐号 -S:查看用户帐号的状态(是否被锁定) -u:解锁用户帐号 修改用户账号的属性 usermod命令 格式...[用户名] users、w 、who命令 用途:查询已登录到主机的用户信息 主要有哪两个用户帐号文件,各有什么作用?

    1.8K40

    【Android 逆向】Android 权限 ( Android 逆向中使用的 android.permission 权限 | Android 系统中的 Linux 用户权限 )

    文章目录 一、Android 逆向中使用的 android.permission 权限 二、Android 系统中的 Linux 用户权限 一、Android 逆向中使用的 android.permission...: 发布系统级服务 ; 一般输入法就是系统级服务 ; 二、Android 系统中的 Linux 用户权限 ---- Android 用户权限 : root 权限 : 拥有所有的权限 , 尤其是 root...用户 , root 分组 的用户 , 几乎可以做任何操作 , 拥有系统的最高控制权限 ; system 权限 : 仅次于 root 权限 ; shell 权限 : 就是 adb shell 进入后对应的权限..., 其比 用户权限 所访问的文件范围要大一些 , 但是很多目录都无法访问 ; usr 权限 : 应用权限 , 每个应用都会生成一个 用户 ; 只有 /data/data/包名/ 目录 和 外部 SD...【Android 逆向】Android 系统中文件的用户和分组 ( 文件所有者与分组 | /sdcard/ 的文件分组 | /data/ 目录分析 | 用户类型 ) 博客 ;

    1.4K00

    tensorflow model中目标对象检测包的编译和测试

    前段时间,谷歌开放了 TensorFlow Object Detection API 的源码,并将它集成到model中。...这个代码库是一个建立在 TensorFlow 顶部的开源框架,方便其构建、训练和部署目标检测模型。设计这一系统的目的是支持当前最佳的模型,同时允许快速探索和研究。...特别还提供了轻量化的 MobileNet,这意味着它们可以轻而易举地在移动设备中实时使用。 花了点时间对这个模型进行调试,里面还是有不少坑的,相信在编译过程中大家都会碰到这样那样的问题。...发现moblienet的精度效果一般,特别是对远距离的对象检测效果非常一般。 接下来测试了下faster-rcnn的效果。如下: ?...从图上可以看出,faster-rcnn效果比较好,不过也存在不足,就是对一张图像的检测速度明显偏慢。

    1.5K80

    第三方SDK合规浅析

    此次事件是由于 Zoom App 内嵌的 Facebook SDK 在用户不知情的情况下向 Facebook 传输用户的手机型号、城市、广告唯一标识符、IP 地址等用户个人信息,Zoom App 在隐私政策内容中并未明确向用户描述这一操作...,仅提及“当用户使用脸书帐号登录时,将会收集用户脸书帐号的个人资料”,这个案例属于比较典型的违规收集个人信息,违背了公开透明原则,隐私政策中未逐一列出第三方SDK收集使用个人信息的目的、方式、范围等内容...这些应用的数据通过Facebook的软件开发组件(SDK)与Facebook共享,甚至在用户同意应用程序的隐私政策之前就开始分享。...这里举两个例子,在安全反作弊、反欺诈场景,通常会采集Android_id、IDFA、IMEI、IMSI、MAC等设备信息、除此之外还会采集电池容量、衰减率、浏览器信息、陀螺仪、应用列表等等信息,采集的信息越多对于设备指纹的唯一性和稳定性越好...用九智汇在App合规检测领域拥有多年的经验,可以提供工具及专家咨询服务,为App开发者合规运营提供帮助。

    94541

    在Windows server 2008 中拒绝共享资源用户的本地登录

    有时服务器的打印机或文件需要共享,这时我们可以在本地用户和组中新建一个用户,局域网内的其他人可通过这个用户帐户来共享打印机,这时问题出现了,任何人掌握了这个帐户就可以用这个帐户在本地登录你的电脑,这确实很危险...之所以如此,是因为在windows server 2008中,只要新建一个用户,就默认该用户具有本地登录的权限,为了安全起见,如果不打算使用于共享文件或打印机的用户可以本地登录,就需要在新建这类用户后,...进行适当的权限设置进行限制。...具体方法如下: 单击“管理工具-本地安全策略”,在本地安全策略窗口的左栏内单击“本地策略-用户权限分配”,在右栏内找到“拒绝本地登录”项,双击,在出现的窗口中单击“添加用户或组”,再单击“高级”,在后续的操作步骤中选择上述用户...,通过这样操作后,该用户就不能本地登录服务器了。

    1.8K30

    重要变更 | Android 11 中的软件包可见性

    在 Android 10 及之前的版本中,应用可以通过 queryIntentActivities() 这样的方法获取到设备中所有已安装的应用列表。...在大多数情况下,这种访问权限远超出了应用实际所需要的权限范围。随着我们不断加强对隐私保护的关注,我们将在 Android 11 上引入一些新的变化,从而改变应用查询用户已安装应用并与之交互的方式。...为了更好地 "问责" 访问已安装应用的行为,默认情况下,以 Android 11 为目标平台 (目标 API level 为 30) 的应用默认将只能检测到部分过滤后的已安装应用。...您可以在 开发者文档 — Android 11 中的软件包可见性 中找到更多有关软件包可用性的使用信息和用例。...请查阅以下资源: Android 11 中的软件包可见性文档 Android Gradle 插件版本说明

    2K20

    Android微信之登录授权(ShareSDK-AndroidStudio)

    一.前期准备 1.帐号申请 https://open.weixin.qq.com/ 首先登录微信开放平台,注册一个帐号 2.提交APP审核 为什么必须提交app审核呢?...", Toast.LENGTH_SHORT).show(); break; case MSG_LOGIN: Toast.makeText(this, "使用微信帐号登录中...、showUser(null)请求授权用户的资料(这个过程中可能涉及授权操作) 3、如果onComplete()方法被回调,将其参数Hashmap代入你应用的Login流程 4、否则提示错误,调用removeAccount...removeAccount()方法,删除可能的授权缓存数据 参考示例:比如简书,网易云音乐的帐号绑定实现过程,都是值得借鉴的 第二种:APP无注册功能 APP本身没有自己的用户系统,微信登录是唯一的入口...对于iOS应用,考虑到iOS应用商店审核指南中的相关规定,建议开发者接入微信登录时,先检测用户手机是否已安装微信客户端,对未安装的用户隐藏微信登录按钮,只提供其他登录方式(比如手机号注册登录、游客登录等

    1.7K30

    Android微信之登录授权(ShareSDK-Eclipse)

    ", Toast.LENGTH_SHORT).show(); break; case MSG_LOGIN: Toast.makeText(this, "使用微信帐号登录中...2、showUser(null)请求授权用户的资料(这个过程中可能涉及授权操作) 3、如果onComplete()方法被回调,将其参数Hashmap代入你应用的Login流程 4、否则提示错误,调用removeAccount...removeAccount()方法,删除可能的授权缓存数据 参考示例:比如简书,网易云音乐的帐号绑定实现过程,都是值得借鉴的 第二种:APP无注册功能 APP本身没有自己的用户系统,微信登录是唯一的入口...).getUserId()请求用户在此平台上的ID 3、如果用户ID存在,则认为用户是合法用户,允许进入系统;否则调用authorize() 4、authorize()方法将引导用户在授权页面输入帐号密码...对于iOS应用,考虑到iOS应用商店审核指南中的相关规定,建议开发者接入微信登录时,先检测用户手机是否已安装微信客户端,对未安装的用户隐藏微信登录按钮,只提供其他登录方式(比如手机号注册登录、游客登录等

    1.3K20

    程序员带你学习安卓开发系列-Android文件存储

    上篇文章补充: 控件单位介绍: px 像素 dip或者dp 设备独立像素 sp 比例像素 控件的高度宽度一般用dip或者dp。字体用sp。 Android 存储数据项目: 描述:实现QQ登录效果。...如图: 输入帐号密码,并勾选记住帐号 ,点击登录时,保存帐号信息。下次登陆可以直接显示上次保存的QQ帐号。 ? 前台界面写法:(当然这并不是标准答案,大家只要把布局布出来就可以) ?...流程: 用户点击登录按钮 后台获取checkbox的状态。若没有勾选不做操作。 若勾选checkbox,则获取QQ帐号输入的值,保存起来。 再次打开应用,查询是否存储过QQ帐号。...一、JAVA传统写法,存储到文件中。 手机安装app之后会在/data/data/目录下,自动生成包名所对应的文件夹。我们就是把数据以文件的形式保存到这个目录的。 ?...二、存储到SDCard中: sd卡的特殊点是,sdcard的状态不确定。有时可以使用,有时可能被用户拔出。所以我们需要判断sd卡的状态。在一点就是sd卡的读写需要一定的权限的。其他的与上面相同。

    91220

    业界 | 滚蛋吧~黑客君!

    上一版本的“棒棒糖”存在安全漏洞,黑客只需发送短信便可入侵其他设备。 Facebook实习生曝漏洞被解雇。...近期,在Facebook实习的Aran Khanna利用Facebook Messenger定位服务的一个已知漏洞,追踪好友,并在地图上标出位置,定位精确度达到1米。...由于曝光了产品的隐私漏洞,Aran Khanna遭到Facebook的解雇。 黑客可窃取Android用户指纹。...D令牌——用心保障您的帐号安全 使用安心:即使其他网站帐号密码被盗,也无需担心黑客登陆您的DNSPOD帐号,安心。 验证放心:30秒随机生成6位动态数字验证码,保障安全,放心。...☟☟☟Android用户扫描下载☟☟☟ ☟☟☟iOS系统用户扫描下载☟☟☟

    42210

    将Gradle项目发布到Jcenter和Maven Central

    事实上,这个Jcenter库是一家叫做bintray的机构维护,它作为google android官方默认的中央库.但在android studio的早期版本中默认使用的是maven库,它是由sonatype...注册bintray帐号 为了让自己的项目也能够被全世界的开发者使用,我们可以通过将lib项目发布到jcenter库中,在配置脚本之前我们需要先去官网注册一个帐号,传送门:bintray 也可以使用第三方登录的方式来登录...,包括github、google、facebook帐号等。... 使用前面的我们注册帐号和apikey上传对应的文件到jcenter库中: Properties properties = new Properties() properties.load(project.rootProject.file...apikey是属于个人的隐私信息,故在local.properties(该文件不会上传到Git库中)本地文件中配置用户名和apikey。

    3.7K50
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券