漏洞分析
-
揭秘第三方SDK漏洞:行動APP應用安全攻防實戰指南
本文介紹了360 Vulpecker Team的安全研究員黎博與張馨所進行的行動APP第三方SDK漏洞挖掘實戰。 360 Vulpecker Team專注於安卓系統和應用安全攻防領域,在安卓應用安全審計方面具有自主研發的自動化系統。本文從第三方SDK的安全現況著手,探討了SDK整合帶來的安全風險,並詳細介紹了不同SDK所存在的漏洞風險和攻擊方式。透過實例分析了推送SDK和分享類別SDK的漏洞方式,並指出了相關漏洞對應用程式的影響範圍。最後,提出了一些思考,以引發讀者對行動APP安全性的關注與深入思考。
-
Google Android 14輸入法資訊外洩漏洞及影響
Google Android 14輸入法資訊外洩漏洞,由於側通道資訊洩露,有一種可能無需查詢權限即可確定應用程式是否安裝的方法。這可能會導致本地資訊洩露,而無需額外的執行權限。利用該漏洞不需要使用者互動。
-
【嚴重】開源Apache Log4j遠端程式碼執行漏洞
2021年11月24日,阿里雲安全團隊向Apache官方報告了Apache Log4j2遠端程式碼執行漏洞。 01 漏洞描述Apache Log4j2是一款優秀的Java日誌框架。 …