短网址安全浅谈

网址服务也就是将长网址转换为短网址的服务,这种服务在方便了广大网民的同时也带来了一定的安全风险
腾讯安全响应中心 2018年10月12日

【威胁快讯】腾讯Tencent Blade Team首度公开,恶意代码威胁全球摄像头

京时间2018年9月18日, Tenable官网上公开了由京晨科技(NUUO)公司开发的NVRMini2设备管理系统存在缓冲区溢出漏洞的相关公告,腾讯Tencent Blade Team云安全团队从9
腾讯安全响应中心 2018年09月25日

四两拨千斤 —— Ubuntu kernel eBPF 0day分析

不久,国外安全研究者Vitaly Nikolenko在twitter上公布了一个Ubuntu 16.04的内核提权漏洞利用代码,各大云服务商因提供有Ubuntu云主机,均受到影响。
腾讯安全响应中心 2018年04月08日

Android开发工具Apktool漏洞利用分析

日安全人员披露了早期版本的Apktool存在的两个漏洞细节,一个是XXE漏洞,可造成对用户电脑/系统任意文件的访问;另一个是路径穿越漏洞,可释放、覆盖用户电脑/系统文件、代码执行等危害。
腾讯安全响应中心 2017年12月08日

Node.js CVE-2017-14849 漏洞分析

017年9月28日,公司扫描器发现某业务存在一例任意文件读取漏洞,团队跟进分析后发现这是Node.js和Express共同导致的一个通用漏洞。在我们准备告知官方时,发现Node.js官网于9月29号给
腾讯安全响应中心 2017年11月07日

Xshell高级后门完整分析报告

日,Xshell官方发布公告称其软件中存在后门。腾讯安全应急响应中心的实习生同学对该后门进行了详细的分析,确认这是一个具备恶意代码下载执行和数据回传等能力的高级木马。
腾讯安全响应中心 2017年08月17日

WebSocket应用安全问题分析

ebSocket是HTML5开始提供的一种浏览器与服务器间进行全双工通讯的网络技术。WebSocket通信协议于2011年被IETF定为标准RFC 6455,WebSocket API也被W3C定为标
腾讯安全响应中心 2017年08月16日

解锁更多姿势——手机锁屏安全研究

着手机功能越来越多,其在我们生活中扮演的角色也越来越重要,除了保存传统的通讯录、短信、照片等个人隐私,现在的手机还是一个支付工具,如果手机被盗用,手机锁屏密码就是保证大家数据和资金安全的第一道屏障。我
腾讯安全响应中心 2017年08月07日

Windows 10下MS16-098 RGNOBJ整数溢出漏洞分析及利用

篇文章涉及Windows Kernel Pool风水、SetBitmapBits/GetBitmapBits来进行任意地址的读写等利用手段,有助于学习Windows内核的漏洞利用。
腾讯安全响应中心 2017年06月12日

CVE-2016-10190 FFmpeg Heap Overflow 漏洞分析及利用

Fmpeg是一个著名的处理音视频的开源项目,使用者众多。2016年末paulcher发现FFmpeg 三个堆溢出漏洞分别为CVE-2016-10190、CVE-2016-10191以及CVE-2016
腾讯安全响应中心 2017年03月20日

Google基础设施安全设计概述翻译和导读

oogle,它们的安全能力是内嵌在基础设施里,由基础设施透明提供的。安全工程师参与设计、开发和实现检验基础设施所提供的安全能力。
腾讯安全响应中心 2017年02月21日

中小企业网络安全建设指引

文其实是我们在2016年底为腾讯投后企业的相关同学进行主题为“如何防范黑客攻击”的安全培训(为投资企业提供全方位资源支持是腾讯投资的一个增值服务)的时候产生的副产物:部分初创企业安全团队规模较小(甚至
腾讯安全响应中心 2017年02月13日

利用符号执行去除控制流平坦化

文主要针对x86架构下Obfuscator-LLVM的控制流平坦化,但最重要的是去除控制流平坦化过程中的思路,同时当函数比较复杂时可能速度会有点慢。有时间会以此为基础尝试分析伪造控制流、指令替换和VM
腾讯安全响应中心 2017年01月22日

CVE-2016-7595 Apple macOS/iOS CoreText OTL::GPOS::ApplyPairPos 越界访问漏洞分析

016年12月的Apple安全公告中,修复4个由腾讯安全平台 部终端安全团队报告的漏洞,其中有2个是字体解析造成的越界访问漏洞,影响 macOS/iOS/watchOS/tvOS等多个平台系统,本文主
腾讯安全响应中心 2016年12月20日

CVE-2016-6771: Android语音信箱伪造漏洞分析

歌近期对外公布了12月份的安全公告,其中包含我们团队提交的语音信箱伪造漏洞(CVE-2016-6771),该漏洞可导致恶意应用进行伪造语音信箱攻击。本文将对该漏洞进行分析。
腾讯安全响应中心 2016年12月12日

订阅源