安全领域的新趋势、新挑战、新机遇.pptx

安全领域的新趋势、新挑战、新机遇陈能126.com微博：@陈能技从最近的安全事件 看 安全领域的新趋势X-Force 2013 Mid-Year Trend and Risk Report新的攻击手段层出不穷！最近发生了哪些安全事件？Android Master KeyAndroid WebView远程代码执行漏洞QR二维码攻击Facebook水坑攻击iOS中间人攻击iPhone充电器攻击!路由器有后门!Structs漏洞补丁打到手软了有木有？乌云曾经报过类似漏洞伪基站3G时代，哥用Android 、iPhone！漏洞危及超过90%的安卓手机！/us-13/US-13-Forristal-Android-One-Root-to-Own-Them-All-Slides.pdf史上最严重的安卓系统签名漏洞2013年7月，Bluebox曝光了一个严重的安卓系统签名漏洞。该漏洞使99%的安卓设备面临巨大风险：黑客可以在不破坏APP数字签名的情况下，篡改任何正常手机应用，并进而控制中招手机，实现偷账号、窃隐私、打电话或发短信等任意行为，从而使手机瞬间沦为“肉鸡”。/corporate-blog/bluebox-uncovers-android-master-key/99%/corporate-blog/bluebox-uncovers-android-master-key/的手机搭载的是/corporate-blog/bluebox-uncovers-android-master-key/Android 4.3/corporate-blog/bluebox-uncovers-android-master-key/以下的系统哥是果粉，用的是iPhone！HTTP劫持、中间人攻击/blog/http-request-hijacking//blog/http-request-hijacking/blog/http-request-hijacking//哥用iPhone也就打打电话，不上网！/us-13/US-13-Lau-Mactans-Injecting-Malware-into-iOS-Devices-via-Malicious-Chargers-WP.pdfhttps:///us-13/US-13-Lau-Mactans-Injecting-Malware-into-iOS-Devices-via-Malicious-Chargers-WP./us-13/US-13-Lau-Mactans-Injecting-Malware-into-iOS-Devices-via-Malicious-Chargers-WP.pdf /6909.htmlhttp:///6909./6909.htmlQR二维码攻击手机扫一扫就中招了！/archives/1217http:///archives/1217/archives/1217新趋势：移动、社交移动终端上网用户数量激增，安全面临新挑战？最新统计智能手机的出货量已经超过10亿网络社会化、社交化趋势不可逆转，SNS成为攻击主目标！社工味道越来越浓了！多家科技巨头遭遇黑客"水坑"式攻击据Facebook针对被黑事件调查公布的信息显示，这个具备“重大作案嫌疑”的网站名为iPhoneDevSdk，许多专注于自身移动平台发展的公司都将这一网站视为进行信息交流、分享的重要平台。而在Facebook一名员工浏览了这个网站后，该网站HTML中内嵌的木马代码便利用甲骨文Java漏洞侵入了这名员工的笔记本电脑。水坑攻击有取代社交工程邮件攻击的趋势！高级持续性威胁(Advanced?Persistent?Threat，APT)与钓鱼攻击相比，黑客无需耗费精力制作钓鱼网站，而是利用合法网站的弱点，隐蔽性比较强。在人们安全意识不断加强的今天，黑客处心积虑地制作钓鱼网站却被有心人轻易识破，而水坑攻击则利用了被攻击者对网站的信任。根据《X-Force 2013 Mid-Year Trend and Risk Report》，2013年上半年的Web安全漏洞有一半以上是XSS！XSS究竟有没有被重视？Web2.0安全新挑战SNS、SOA、AJAX、Flash、HTML5、Web API…Web 蠕虫(XSS\CSRF\ClickJacking)在2005年10月初，第一只Web 2.0蠕虫I-Worm/JS.Sammy也是利用著名网络社区MyS的系统漏洞，以跨站脚本攻击(XSS)的方式进行传播的Sammy 蠕虫的作者在社区个人资料中插入病毒脚本，当其他MyS用户查看他的资料时，病毒脚本就会运行，自动把病毒作者加为好友，同时病毒本身也 会被复制到浏览者的个人资料里面。不到20个小时，就有超过100万MyS用户受