阿里安全-CSDN博客

原创阿里安全首席架构师钱磊：安全基建将成数字经济标配

“新基建”带来了新的发展机遇，也对网络空间安全带来了全新的挑战。两个多月新冠疫情磨砺，让加快发展数字化成为社会共识，以5G、数据中心等为代表的新型基础设施建设，也成为经济复苏的新路径。近日，阿里巴巴发布数字基建新一代安全架构。新架构整合阿里巴巴20年来的各项安全能力和运营经验，形成一套即插即用的标准化安全架构，可帮助社会各界在数字化进程中构建完整的安全基础设施。值得注意的是，新一代安全架构...

2020-03-31 19:36:58 975

原创【阿里聚安全·安全周刊】Python库现后门可窃取用户SSH信息|Facebook再曝300万用户数据泄露

本周七个关键词：Python库现后门丨Facebook再曝数据泄露丨加密协议被曝严重漏洞丨英国报摊将出售“色情通行证”丨HTTPS的绿色锁图标丨机器学习和预测应用的API丨Eclipse Che 6.5.0-1- 【python】Python库现后门可窃取用户SSH信息来源：嘶吼------------------------------------------------------以色列...

2018-05-18 16:21:23 655 1

转载剖析pip ssh-decorate供应链攻击

文/图阿里安全猎户座实验室近日，国外媒体有安全人员爆出Python pip ssh-decorate被发现存在后门代码！对，又是pip污染。pip是python的开源包资源库。然而，这个开源库的管理是十分松散的。尤其在安全方面并没有严格的审核机制。一个用户只需要一个email即可注册账户，然后即可上传其源文件到pip资源中。而这个pip资源是被世界上所有python用户使用下载的。如果有人夹杂恶...

2018-05-10 14:21:56 551

转载 2018年5月上即将到来安全活动信息概览

ASRC每半个月发布及更新一些外部安全相关会议沙龙活动信息（节假日顺延），作为SRC白帽子们及圈内伙伴的参考。免费 4-10月阿里软件供应链安全大赛（线上）报名及会议信息：https://softsec.security.alibaba.com/免费 5月5日唯品会第三届互联网电商安全峰会（上海佘山茂御臻品优选酒店）报名及会议信息：http://mp.weixin.qq.com/s/Ms1pN...

2018-05-09 17:39:05 442

转载最新型DDoS攻击制造数万倍垃圾流量干扰政府网站黑产团伙被“团灭”

图说：阿里协助景宁警方打掉国内首个从事新型DDoS攻击的网络黑灰团伙利用少量带宽即可发起巨量DDoS攻击，让政府问政通道无法正常访问，让学校网页无法下发通知，还可让购物网页“离奇”丢失和棋牌网游无法登录，支付贷款突然中断……近日，阿里巴巴安全部专案团队协助浙江景宁警方打掉国内首个从事memcached DDoS攻击的大型网络黑灰团伙。该团伙利用高性能缓存系统（memcached）、时钟网络同步服务...

2018-05-07 17:26:39 926

转载前沿 | 抗击黑产阿里安全八大实验室首秀技术实力

在“4.29”首都网络安全日上，阿里巴巴通过其八大实验室首次集中展示了其强大的安全技术能力。据介绍，八大实验室由双子座实验室、猎户座实验室、潘多拉实验室、归零实验室和钱盾反诈实验室、米诺斯实验室、图灵实验室以及蚂蚁金服光年实验室组成，涵盖AI前沿技术、IoT安全、系统安全、应用安全、数据安全与隐私保护、反欺诈等技术领域，并建立了全面、纵深的安全矩阵。这些技术能力目前已为手淘、天猫、支付宝、闲鱼、优...

2018-05-02 16:59:07 2448

原创【阿里聚安全·安全周刊】互联网时代人类还有被遗忘的权利吗 | Android与中兴

本周七个关键词：互联网时代丨中兴和Android丨安卓厂商和安全补丁丨移动支付安全丨泰国移动运营商泄密丨格式化硬盘的恶意程序丨代码签名滥用-1- 【互联网】互联网时代人类还有被遗忘的权利吗来源：新京报------------------------------------------------------你只要在互联网上有了记录，人们一搜索，就知道你是什么样的人。如果用数据抓取软件，还可...

2018-04-20 16:43:00 440

转载阿里云在RSAC 2018上宣布将在西雅图建立安全实验室

日前，2018年度的RSA Conference全球信息安全大会在美国加州旧金山市召开。作为全球三大云计算服务商之一，阿里云携3款全新安全产品亮相，并宣布今年将在西雅图设立全新的安全实验室，整合全球安全科研资源，专注前沿互联网安全技术研究。阿里云安全事业部总经理肖力表示：云正在驱动全球数字化转型。在安全领域，我们结合了阿里巴巴超过18年的技术积淀，和云本身的计算能力以及规模化优势，为全球企业提供极...

2018-04-20 16:18:01 335

原创【阿里聚安全·安全周刊】全美警局已普遍拥有破解 iPhone 的能力 | 女黑客破解任天堂Switch，称硬件漏洞无法修复

本周的七个关键词：破解 iPhone丨女黑客破解任天堂丨假的身份证丨扫黄打非丨华盛顿特区发现手机间谍设备丨 Telegram被俄罗斯监管机构告上法庭丨价值5万美金的Firefox浏览器漏洞 -1- 【iOS】全美警局已普遍拥有破解 iPhone 的能力来源：MacX------------------------------------------------------来自 Mo...

2018-04-13 15:20:49 419

转载露脸！钉钉通过SOC2隐私性原则审计，安全和隐私保护达超一流国际标准

2018年4月3日，阿里巴巴钉钉宣布已经正式通过了两项安全方面的权威资质：SOC2Type1服务审计报告和ISO27018（公有云体系下的隐私保护）证书。钉钉方透露，此次通过美国注册会计师协会(AICPA) 制定的SOC2审计标准，报告由国际审计师事务所普华永道出具。在SOC2Type1报告中，钉钉通过了安全性，保密性和隐私性三项原则的审计，而通过隐私性原则审计，钉钉在国内是第一家。据了解，目前在...

2018-04-03 16:55:20 1478

转载 BAT齐聚阿里安全-ASRC生态大会：呼吁联合共建网络安全白色产业链

图说：近日，阿里安全-ASRC生态大会在杭州举行，包括BAT在内的20余家国内知名互联网企业代表，回顾过去一年网络安全面临的问题与挑战，共谋生态安全治理思路。“123456、111111、123123……，通过10个简单密码，即可控制互联网上10%以上的设备。”因网络基础设施太过脆弱，新型网络环境下IoT等网络安全漏洞被黑灰产利用的现象正愈加频发。3月31日，阿里巴巴、腾讯、百度、微博、滴滴等20...

2018-04-03 15:08:41 367

转载阿里安全图灵实验室再次刷新世界顶级算法比赛成绩

（*via华蒙）近日，阿里安全图灵实验室（Alibaba Turing Lab）在Pascal VOC挑战赛（Pattern Analysis, Statical Modeling and Computational Learning）的目标检测（Object Detection）之Competition 3 ：TRAIN ON PASCAL VOC DATA项目中获得了74.8分，刷新了该项检测...

2018-03-28 11:14:55 452

原创双星闪耀，开创先河！蚂蚁金服安全实验室首次同时亮相BlackHat Asia 以及CanSecWest国际安全舞台

近期，蚂蚁金服巴斯光年安全实验室（以下简称AFLSLab）同时中稿BlackHat Asia黑帽大会的文章以及武器库，同时在北美的CanSecWest安全攻防峰会上首次中稿Android安全领域的漏洞挖掘文章，连创三个第一！这也代表这蚂蚁金服对于安全领域进军深入的决心，以及守护用户的初心。开创先河,蚂蚁金服首次中稿重要国际安全会议以及武器库本届blackhat ASIA中唯一入选的由中国人开发的工...

2018-03-26 17:26:12 443

原创【阿里聚安全·安全周刊】500万台Android设备受感染|YouTube封杀枪支组装视频

本周的七个关键词： 500万Android 设备受感染丨黑客将矛头指向无线传输协议丨 YouTube封杀枪支视频丨 AMD将发布补丁丨 Gooligan Android 僵尸网络丨 Native代码加壳保护丨Java 10-1- 【Android】恶意广告程序 RottenSys 感染近 500 万台 Android 设备来源：hackernews.cc-----------...

2018-03-23 15:22:31 318

原创【阿里聚安全·安全周刊】操心的游戏破解者为开发商提高销量|加密货币必崩盘？

本周的七个关键词：加密货币丨 FBI逮捕手机改装公司CEO 丨 OCR技术丨英雄萨姆游戏丨 AMD13个漏洞丨新型数据过滤技术丨在Safari中启动URL-1- 【加密货币】福布斯刊文：加密货币必崩盘，政府应禁止各种加密货币来源：嘶吼------------------------------------------------------加密货币挖矿恶意软件是2018年最...

2018-03-16 16:20:24 693

原创全国首批数据安全能力成熟度专业测评师即将出炉

数据安全是当前大数据时代的新课题。科学有效地进行新时代下的数据安全治理，确保数字经济的持续健康发展，是国家经济、社会发展的重要任务。我国的《网络安全法》以及相关细则也对数据安全提出了非常具体和明确的要求。2018年3月12日，由贵州大数据安全工程研究中心主办的《数据安全能力成熟度测评师》培训在京举行了启动仪式。贵州大数据安全工程研究中心主任杜跃进博士，贵阳国家经济技术开发区管委会副主任余大林，贵阳...

2018-03-14 13:20:07 605

原创厉害了！阿里安全图灵实验室在ICDAR2017 MLT竞赛刷新世界最好成绩

近日，阿里安全图灵实验室（Alibaba Turing Lab）的ATL Cangjie OCR算法在ICDAR2017的MLT（Competition on Multi-lingual scene text detection）自然场景多语言文本检测竞赛中刷新了世界最好成绩，以73.52%的Hmean排名第一。（竞赛结果页面：http://rrc.cvc.uab.es/?ch=8&com...

2018-03-14 11:28:14 417

原创【阿里聚安全·安全周刊】科学家警告外星恶意代码|新方法任意解锁iPhone

本周的七个关键词：外星恶意代码丨任意解锁iPhone 丨安卓9.0 丨黑客攻击医疗设备丨仙女座僵尸网络丨苹果联合创始人被骗比特币丨JavaScript-1- 【恶意代码】科学家警告来自外星的恶意代码来源：solidot------------------------------------------------------2050 年，地球收到了一个外星文明发送来的的...

2018-03-02 15:53:52 478

转载节日活动季安全指南 | 八招应对短信验证码攻击

如今，大量的网站、网站、手机app都在使用短信验证码作为验证用户身份的安全技术措施。尤其在年底，企业的促销、抽奖、互动活动会迎来一个高峰期，用到短信验证码的场景非常频繁。但近期，阿里云·云盾WAF团队监测到，不少用户业务的短信验证码功能被攻击，短信接口被恶意利用，导致业务无法正常访问。同时，被刷的短信成本也直接造成一定量的资金损失。有哪三大行业或者业务，需要警惕短信验证码背后的风险呢？风险业务一：...

2018-02-12 14:01:36 438

原创 150万元重奖！阿里软件供应链安全大赛正式启动

近些年，从棱镜门事件到XcodeGhost，再从惠普驱动键盘记录后门事件，到Xshell后门、python pip源欺骗性污染、VSCODE插件钓鱼。软件供应链安全事件不仅频繁发生，而且具有威胁对象种类多、极端隐蔽、涉及纬度广、攻击成本低回报高、检测困难等特性。针对于此，阿里安全宣布正式启动“功守道”阿里软件供应链安全大赛。本次赛事的官网（https://softsec.security.ali...

2018-02-08 10:55:14 452

原创移动APP外挂攻防实战

前言近日，某某龙在2018年的一次会议上发表了一个演讲，4000多人聚集在现场玩“跳一跳”游戏。随着他们指尖的翻飞跳跃，大屏幕上的现场排名也在不断刷新……而在全场的惊叹声中，最高分出现了，967分！而这位最高分得主，就是某某龙本人。在随后的演讲中，某某龙也表示，这款DAU在一点几个亿的小游戏，网上居然出现了非常多的外挂。笔者以“跳一跳”为关键词在全球最大的同性社交平台github上

2018-01-25 14:59:05 1301

转载阿里云正式上线移动直播问答解决方案，助力APP尽情“撒币”！

2018年伊始，互联网圈就刮起了一阵“大佬狂撒币，网友喜答题”的热潮。以映客芝士超人等为代表的直播问答平台，通过答题分奖金的互动模式，迅速引爆网络热点。随后，多个直播和视频平台也上线了直播问答游戏。一时之间，这种参与门槛低、奖金池高、流量裂变传播的互动模式，成为了全新的获客、促活、盈利的重要手段，显然要比烧钱推广来得更有效。凭借此模式，直播问答APP开始占据APP STORE前排

2018-01-17 15:41:15 886

原创阿里安全资深专家杭特辣评中国网络安全人才之“怪现状”

随着网络空间成为第五空间、社会基础产业全面互联网化，网络安全（或称广义的信息安全）面临的威胁越来越大，对网络安全的人才需求也呈现出井喷趋势。即使目前很多人可以自学成才，“网络空间安全”也成为一级学科，但根据《第十一届网络空间安全学科专业建设与人才培养研讨会》得出的结论，“我国网络空间安全人才年培养规模在3万人左右，已培养的信息安全专业人才总量不足10万，离目前需要的70万差距巨大。”缺口不小，但目

2018-01-12 14:10:04 961 1

原创【阿里聚安全·安全周刊】Intel芯片级安全漏洞事件|macOS存在漏洞

关键词：Intel漏洞丨mac OS漏洞丨三星漏洞丨安卓安全丨CPU漏洞丨phpMyAdmin漏洞丨iOS设备|安卓恶意软件检测|Burpsuite本周资讯top3【Intel漏洞】芯片级安全漏洞后续：谷歌表示不止Intel，每个1995年后的处理器都可能受影响1月3日，不少外媒报道了 Intel 芯片级安全漏洞出现，可能导致 Linux 和 Windo

2018-01-05 17:48:16 652

原创阿里聚安全年终盘点|2017互联网安全领域十大话题

导语：2017年即将过去，2018新年还有3天，回顾2017，看似很平淡地过去了，但总有一些印记让我们印象深刻。作为互联网安全领域的一份子，阿里聚安全时刻关注着互联网行业的安全事件，让我们一起来盘点2017年安全圈的一些大事吧，看看是否与你关注的差不多~一、勒索软件与安全勒索软件的风险一直存在，2017上半年5月份，wannacry的爆发，小到个

2017-12-29 13:38:41 2417

原创【技术分析】DowginCw病毒家族解析

作者：钱盾反诈实验室0x1.背景近期，钱盾反诈实验室通过钱盾恶意代码智能监测引擎感知并捕获一批恶意应用。由于该批病毒会联网加载“CWAPI”插件，故将其命名为“DowginCw”病毒家族。“DowginCw”通过插件形式集成到大量儿童游戏应用中，然后通过发布于各大应用商店或强制软件更新等手段，将恶意代码植入用户手机设备中，用户一旦运行，设备将不停下载、安装其他恶意应用，

2017-12-22 13:35:46 1588

原创独家探寻阿里安全潘多拉实验室，完美越狱苹果iOS11.2.1

知道如何从攻击的视角去发现漏洞，才能建立更安全的体系，促进了整个生态的良性发展。以阿里安全潘多拉实验室为例，在对移动系统安全研究的过程中，把研究过程中发现的问题上报给厂商，促进系统安全性的提升。小编第一时间深度探访阿里安全潘多拉实验室，采访了此次攻破苹果iOS11.2.1的重要成员之一龙磊，他本人就已向苹果报告了7个安全漏洞，并获得厂商的认可和致谢。

2017-12-15 11:08:36 629

转载阿里安全潘多拉实验室首先完美越狱苹果iOS 11.2

苹果官方对iOS 11的评价是“为iPhone带来巨大进步，让iPad实现里程碑式飞跃。”但为了不断修复Bug，苹果于12月2日推出最新的iOS 11.2，修复了Google安全人员上报的安全漏洞，进一步增强了iOS系统的安全性。12月13日，阿里安全潘多拉实验室宣称已经完美越狱苹果iOS 11.2。阿里安全潘多拉实验室负责人宋杨称，其团队已在iPhone X上完美越狱

2017-12-14 10:30:01 1706

原创【阿里聚安全·安全周刊】双十一背后的“霸下-七层流量清洗”系统| 大疆 VS “白帽子”，到底谁威胁了谁？

关键词：霸下-七层流量清洗系统丨大疆 VS “白帽子”丨抢购软件 “第一案”丨企业安全建设丨Aadhaar 数据泄漏丨朝鲜APT组织Lazarus丨31款违规APP|Terdot银行木马本周资讯top3【技术揭秘】天猫双十一1682亿背后的“霸下-七层流量清洗”系统上古神话中，龙生九子，其六为赑屃(bi xi)，又名霸下，力大无穷，喜负重。在阿里安全

2017-11-24 14:40:44 587

原创【云栖大会】ifaa在移动安全领域为身份认证保驾护航

演讲人：蚂蚁金服身份安全产品技术专家——辛知分享：今天的演讲分五个部分———————————————————————— 1、——首先回顾一下互联网身份认证的发展 2、——第二部分讲一下挑战 3、——后面讲一下ifaa的情况 4、——ifaa的开放赋能 5、——最后会展望一下

2017-10-27 14:23:52 1608

原创【生物识别】阿里巴巴在移动端核身技术实践

导语：利用生物识别技术进行身份认证、人机交互已经成为很多移动端产品的重要趋势。阿里实人认证技术可以利用活体检测、人脸对比等并结合权威数据源与阿里实人可信模型，判定用户身份真实性、有效性的在线身份校验服务。阿里声纹识别技术应用于阿里系平台的用户身份核验，可以通过声纹识别技术进行手机淘宝的密码修改，生物特征标识可以为移动端设备提供额外更多的安全性。王炎

2017-10-24 14:27:46 2051

原创 WiFi网络WPA2 KRACK漏洞分析报告

作者：东帆@阿里安全技术平台团队————————0x00 漏洞概述安全研究员Mathy Vanhoef发现的WPA2协议的KRA（Key Reinstallation Attacks）漏洞，利用WPA2协议标准加密密钥生成机制上的设计缺陷，四次握手协商加密密钥过程中第三个消息报文可被篡改重放，导致在用密钥被重新安装。WiFi网络通过WPA2

2017-10-18 15:08:29 1326

原创 #云栖大会# 移动安全专场——APP渠道推广作弊攻防那些事儿（演讲速记）

导语：如今，移动互联网浪潮进入白热化竞争态势，APP渠道传播成为很多企业常用的推广方式，APP推广费用也在水涨船高，从PC时代的一个装机0.5元到1元不等，到移动互联网时代的5元，甚至几十元，但为什么转化效果却越来越差。在如此巨大经济利益的驱使下，渠道推广掺假成为业界的普遍认知，渠道不刷量也只存在于童话故事里。因此，如何能减少APP推广经费被羊毛党消耗，便成为了大部分互联网企

2017-10-16 15:44:52 874

原创 #云栖大会# 移动安全专场——APP加固新方向（演讲速记）

主持人导语：近些年来，移动APP数量呈现爆炸式的增长，黑产也从原来的PC端转移到了移动端，伴随而来的逆向攻击手段也越来越高明。在解决加固产品容易被脱壳的方案中，代码混淆技术是对抗逆向攻击最有效的方式之一。但目前的移动端加固技术真能抵御黑客的攻击吗？本报告将分享阿里巴巴集团安全部应用加固能力养成记，重点介绍Android加固对于端上的业务风险控制是如何做到自动化部署和分析，更快捷的感

2017-10-13 13:30:38 596

原创 CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析及利用

作者：栈长@蚂蚁金服巴斯光年安全实验室————————1. 背景FFmpeg是一个著名的处理音视频的开源项目，非常多的播放器、转码器以及视频网站都用到了FFmpeg作为内核或者是处理流媒体的工具。2016年末paulcher发现FFmpeg三个堆溢出漏洞分别为CVE-2016-10190、CVE-2016-10191以及CVE-2016-10192。本文对CVE-2016-

2017-09-14 10:13:53 702

原创 WireX：Android智能手机组成的DDoS僵尸网络

阿里聚安全小编曾多次报道了官方应用市场出现恶意软件的事件，让大家在下载APP的时候三思而后行。最近多家安全公司组成的安全研究小组发现了一个新的、传播广泛的僵尸网络，它是由成千上万的Android智能手机组成。该僵尸网络名为WireX，被杀毒工具检测识别为“Android Clicker”，主要包括运行从谷歌Play商城下载的数百个恶意

2017-08-29 17:02:57 1165

原创国家雷霆出击整治网络内容平台，企业需初心自持

背景从8月9号某位微博博主发出第一条微博到今天，最近这一起学习类app互撕的事件似乎告一段落。回顾事件的兴起，先是段子手们微博的争相转发。随后中国教育电视台的新闻栏目、人民网等媒体在微博上的发声，似乎都已经把这件事定义为一起学习类app涉黄的问题。而舆论代表的大众也都一边倒的指责该app 的涉黄以及对祖国未来的00后会造成巨大的不良影响。

2017-08-23 16:56:04 604

原创从Google Play下载应用并不安全，上千款监视软件伪装其中

如果你认为在官方应用市场里下载app就觉得安全的话，小编可以负责任的回答你：“too young too simple,sometimes native”今年4月，BankBot 银行木马出现在谷歌Play应用商店中，该木马可以让攻击者获得管理员权限，并执行大量恶意任务，包括窃取银行登录信息。4月同时，约有2百万Android用户在谷歌P

2017-08-17 17:58:34 2212

原创 AVPass技术分析：银行劫持类病毒鼻祖BankBot再度来袭，如何绕过谷歌play的杀毒引擎？

背景近期，一批伪装成flashlight、vides和game的应用，发布在google play官方应用商店。经钱盾反诈实验室研究发现，该批恶意应用属于新型BankBot。Bankbot家族算得上是银行劫持类病毒鼻祖，在今年年初曾爆发，之前主要针对欧洲国家，可劫持50多家银行应用，而新发酵的BankBot已将攻击目标扩散到全球，可劫持银行增加到145家。那么新型Bank

2017-08-15 14:24:52 695

原创强密码和弱密码并没有什么区别？NIST密码安全标准更新：不再建议密码要求混合大写字母、字符和数字

作为一名认真负责的小编，每次注册账号设置密码的时候都是最痛苦的，太简单的怕被破解，太难的又记不住。等你好不容易记住密码，三个月后IT同学过来拍拍你的肩膀，“你的密码到期了，记得改啊……”目前绝大部分网站对于注册账号的密码强度分为3个等级：弱密码、中密码、强密码。网站会引导用户填写密码的时候混合大写字母、字符和数字的强密码。但这

2017-08-15 13:35:43 1838

空空如也

空空如也