阅读
文章平均质量分 77
阿里安全
这个作者很懒,什么都没留下…
展开
-
阿里安全首席架构师钱磊:安全基建将成数字经济标配
“新基建”带来了新的发展机遇,也对网络空间安全带来了全新的挑战。两个多月新冠疫情磨砺,让加快发展数字化成为社会共识,以5G、数据中心等为代表的新型基础设施建设,也成为经济复苏的新路径。近日,阿里巴巴发布数字基建新一代安全架构。新架构整合阿里巴巴20年来的各项安全能力和运营经验,形成一套即插即用的标准化安全架构,可帮助社会各界在数字化进程中构建完整的安全基础设施。值得注意的是,新一代安全架构...原创 2020-03-31 19:36:58 · 1047 阅读 · 0 评论 -
150万元重奖!阿里软件供应链安全大赛正式启动
近些年,从棱镜门事件到XcodeGhost,再从惠普驱动键盘记录后门事件,到Xshell后门、python pip源欺骗性污染、VSCODE插件钓鱼。软件供应链安全事件不仅频繁发生,而且具有威胁对象种类多、极端隐蔽、涉及纬度广、攻击成本低回报高、检测困难等特性。 针对于此,阿里安全宣布正式启动“功守道”阿里软件供应链安全大赛。本次赛事的官网(https://softsec.security.ali...原创 2018-02-08 10:55:14 · 477 阅读 · 0 评论 -
节日活动季安全指南 | 八招应对短信验证码攻击
如今,大量的网站、网站、手机app都在使用短信验证码作为验证用户身份的安全技术措施。尤其在年底,企业的促销、抽奖、互动活动会迎来一个高峰期,用到短信验证码的场景非常频繁。但近期,阿里云·云盾WAF团队监测到,不少用户业务的短信验证码功能被攻击,短信接口被恶意利用,导致业务无法正常访问。同时,被刷的短信成本也直接造成一定量的资金损失。有哪三大行业或者业务,需要警惕短信验证码背后的风险呢?风险业务一:...转载 2018-02-12 14:01:36 · 458 阅读 · 0 评论 -
【阿里聚安全·安全周刊】Intel芯片级安全漏洞事件|macOS存在漏洞
关键词:Intel漏洞丨mac OS漏洞丨三星漏洞丨安卓安全丨CPU漏洞丨phpMyAdmin漏洞丨iOS设备|安卓恶意软件检测|Burpsuite本周资讯top3【Intel漏洞】芯片级安全漏洞后续:谷歌表示不止Intel,每个1995年后的处理器都可能受影响1月3日,不少外媒报道了 Intel 芯片级安全漏洞出现,可能导致 Linux 和 Windo原创 2018-01-05 17:48:16 · 688 阅读 · 0 评论 -
阿里安全资深专家杭特辣评中国网络安全人才之“怪现状”
随着网络空间成为第五空间、社会基础产业全面互联网化,网络安全(或称广义的信息安全)面临的威胁越来越大,对网络安全的人才需求也呈现出井喷趋势。即使目前很多人可以自学成才,“网络空间安全”也成为一级学科,但根据《第十一届网络空间安全学科专业建设与人才培养研讨会》得出的结论,“我国网络空间安全人才年培养规模在3万人左右,已培养的信息安全专业人才总量不足10万,离目前需要的70万差距巨大。”缺口不小,但目原创 2018-01-12 14:10:04 · 1023 阅读 · 1 评论 -
#云栖大会# 移动安全专场——APP渠道推广作弊攻防那些事儿(演讲速记)
导语: 如今,移动互联网浪潮进入白热化竞争态势,APP渠道传播成为很多企业常用的推广方式,APP推广费用也在水涨船高,从PC时代的一个装机0.5元到1元不等,到移动互联网时代的5元,甚至几十元,但为什么转化效果却越来越差。在如此巨大经济利益的驱使下,渠道推广掺假成为业界的普遍认知,渠道不刷量也只存在于童话故事里。因此,如何能减少APP推广经费被羊毛党消耗,便成为了大部分互联网企原创 2017-10-16 15:44:52 · 918 阅读 · 0 评论 -
【生物识别】阿里巴巴在移动端核身技术实践
导语:利用生物识别技术进行身份认证、人机交互已经成为很多移动端产品的重要趋势。阿里实人认证技术可以利用活体检测、人脸对比等并结合权威数据源与阿里实人可信模型,判定用户身份真实性、有效性的在线身份校验服务。阿里声纹识别技术应用于阿里系平台的用户身份核验,可以通过声纹识别技术进行手机淘宝的密码修改,生物特征标识可以为移动端设备提供额外更多的安全性。 王炎原创 2017-10-24 14:27:46 · 2112 阅读 · 0 评论 -
【云栖大会】ifaa在移动安全领域为身份认证保驾护航
演讲人:蚂蚁金服身份安全产品技术专家——辛知 分享:今天的演讲分五个部分———————————————————————— 1、——首先回顾一下互联网身份认证的发展 2、——第二部分讲一下挑战 3、——后面讲一下ifaa的情况 4、——ifaa的开放赋能 5、——最后会展望一下原创 2017-10-27 14:23:52 · 1674 阅读 · 0 评论 -
国家雷霆出击整治网络内容平台,企业需初心自持
背景从8月9号某位微博博主发出第一条微博到今天,最近这一起学习类app互撕的事件似乎告一段落。 回顾事件的兴起,先是段子手们微博的争相转发。随后中国教育电视台的新闻栏目、人民网等媒体在微博上的发声,似乎都已经把这件事定义为一起学习类app涉黄的问题。而舆论代表的大众也都一边倒的指责该app 的涉黄以及对祖国未来的00后会造成巨大的不良影响。原创 2017-08-23 16:56:04 · 634 阅读 · 0 评论 -
老司机谈鉴黄,新一代“鉴黄师”是如何养成的?
在互联网高速发展的今天,直播平台,内容社区,视频网站等UGC/PGC平台蓬勃发展,如雨后春笋般出现。但巨大的安全隐患也接踵而至,内容审核成为企业最关键的一道防火墙。企业招聘大量的内容审核专员来应对包括色情、暴力、犯罪等多个方面的不良内容。其中鉴黄师可能是最神秘也最令人遐想的岗位了。说起鉴黄师,大家会心一笑,看看黄图还有高收入,简直没天理。但是在从业人员看来,它真的那么令人向往吗原创 2017-07-31 15:13:06 · 1442 阅读 · 0 评论 -
hot~《国家网络安全应急预案》你知道么。
本月27日,Petya勒索病毒在欧洲爆发,这是自五月Wanncry勒索病毒之后发生的第二起跨国界的大型网络安全问题,网络安全事件的规模和频率在逐渐上升。而面对逐渐严峻的形式,中央网信办在6月27号向社会印发了《国家网络安全事件应急预案》(以下简称预案),预案的出台表明了从国家层面开始对网络安全事件的重视。依照Petya时间的发展来看在欧洲国家重灾区乌克兰,新病毒变种原创 2017-06-30 10:25:18 · 763 阅读 · 0 评论 -
XOR 加密简介
本文介绍一种简单高效、非常安全的加密方法:XOR 加密。一、 XOR 运算 逻辑运算之中,除了 AND 和 OR,还有一种 XOR 运算,中文称为"异或运算"。它的定义是:两个值相同时,返回false,否则返回true。也就是说,XOR可以用来判断两个值是否不同。 true XOR true // false false XOR false // false true XOR fals转载 2017-06-08 16:45:14 · 532 阅读 · 0 评论 -
在iOS应用程序中使用Frida绕过越狱检测 ※※※※※※※※※※※※※※
阿里聚安全在之前的三篇博客中介绍了利用Frida攻击Android应用程序,整个过程仿佛让开发者开启上帝视角,在本篇博客中,我们将会介绍在iOS应用程序中使用Frida绕过越狱检测。即使你从来没有使用过Frida,这篇文章也将会作为进入移动安全开发和分析的入门指南。 一、Frida介绍Frida是一个可以hook App的动态代码工具包,可以向Windows、macOS翻译 2017-05-11 14:07:35 · 3274 阅读 · 2 评论 -
《阿里聚安全2016年报》
阿里聚安全 2016 年报,展示了阿里聚安全在业务安全防控方面做的一些努力和观点,帮助企业在建设互联网业务安全时,考虑安全策略和防护应该往哪部分倾斜。原创 2017-03-09 14:59:48 · 1326 阅读 · 0 评论 -
【阿里聚安全·安全周刊】操心的游戏破解者为开发商提高销量|加密货币必崩盘?
本周的七个关键词: 加密货币丨 FBI逮捕手机改装公司CEO 丨 OCR技术 丨 英雄萨姆游戏 丨 AMD13个漏洞 丨 新型数据过滤技术 丨在Safari中启动URL-1- 【加密货币】福布斯刊文:加密货币必崩盘,政府应禁止各种加密货币来源:嘶吼------------------------------------------------------加密货币挖矿恶意软件是2018年最...原创 2018-03-16 16:20:24 · 712 阅读 · 0 评论 -
【阿里聚安全·安全周刊】科学家警告外星恶意代码|新方法任意解锁iPhone
本周的七个关键词: 外星恶意代码 丨 任意解锁iPhone 丨 安卓9.0 丨 黑客攻击医疗设备 丨 仙女座僵尸网络 丨 苹果联合创始人被骗比特币 丨JavaScript-1- 【恶意代码】科学家警告来自外星的恶意代码来源:solidot------------------------------------------------------2050 年,地球收到了一个外星文明发送来的的...原创 2018-03-02 15:53:52 · 504 阅读 · 0 评论 -
【阿里聚安全·安全周刊】500万台Android设备受感染|YouTube封杀枪支组装视频
本周的七个关键词: 500万Android 设备受感染丨 黑客将矛头指向无线传输协议 丨 YouTube封杀枪支视频 丨 AMD将发布补丁 丨 Gooligan Android 僵尸网络 丨 Native代码加壳保护 丨Java 10-1- 【Android】恶意广告程序 RottenSys 感染近 500 万台 Android 设备来源:hackernews.cc-----------...原创 2018-03-23 15:22:31 · 347 阅读 · 0 评论 -
最新型DDoS攻击制造数万倍垃圾流量干扰政府网站黑产团伙被“团灭”
图说:阿里协助景宁警方打掉国内首个从事新型DDoS攻击的网络黑灰团伙利用少量带宽即可发起巨量DDoS攻击,让政府问政通道无法正常访问,让学校网页无法下发通知,还可让购物网页“离奇”丢失和棋牌网游无法登录,支付贷款突然中断……近日,阿里巴巴安全部专案团队协助浙江景宁警方打掉国内首个从事memcached DDoS攻击的大型网络黑灰团伙。该团伙利用高性能缓存系统(memcached)、时钟网络同步服务...转载 2018-05-07 17:26:39 · 953 阅读 · 0 评论 -
【阿里聚安全·安全周刊】Python库现后门 可窃取用户SSH信息|Facebook再曝300万用户数据泄露
本周七个关键词:Python库现后门丨Facebook再曝数据泄露丨加密协议被曝严重漏洞丨英国报摊将出售“色情通行证”丨HTTPS的绿色锁图标丨机器学习和预测应用的API丨Eclipse Che 6.5.0-1- 【python】Python库现后门 可窃取用户SSH信息来源:嘶吼------------------------------------------------------以色列...原创 2018-05-18 16:21:23 · 698 阅读 · 1 评论 -
剖析pip ssh-decorate供应链攻击
文/图 阿里安全猎户座实验室近日,国外媒体有安全人员爆出Python pip ssh-decorate被发现存在后门代码!对,又是pip污染。pip是python的开源包资源库。然而,这个开源库的管理是十分松散的。尤其在安全方面并没有严格的审核机制。一个用户只需要一个email即可注册账户,然后即可上传其源文件到pip资源中。而这个pip资源是被世界上所有python用户使用下载的。如果有人夹杂恶...转载 2018-05-10 14:21:56 · 583 阅读 · 0 评论 -
2018年5月上即将到来安全活动信息概览
ASRC每半个月发布及更新一些外部安全相关会议沙龙活动信息(节假日顺延),作为SRC白帽子们及圈内伙伴的参考。免费 4-10月阿里软件供应链安全大赛(线上)报名及会议信息:https://softsec.security.alibaba.com/免费 5月5日唯品会第三届互联网电商安全峰会 (上海佘山茂御臻品优选酒店)报名及会议信息:http://mp.weixin.qq.com/s/Ms1pN...转载 2018-05-09 17:39:05 · 463 阅读 · 0 评论 -
【阿里聚安全·安全周刊】互联网时代人类还有被遗忘的权利吗 | Android与中兴
本周七个关键词:互联网时代丨中兴和Android丨安卓厂商和安全补丁丨移动支付安全丨泰国移动运营商泄密丨格式化硬盘的恶意程序丨代码签名滥用-1- 【互联网】 互联网时代 人类还有被遗忘的权利吗来源:新京报------------------------------------------------------你只要在互联网上有了记录,人们一搜索,就知道你是什么样的人。如果用数据抓取软件,还可...原创 2018-04-20 16:43:00 · 468 阅读 · 0 评论 -
前沿 | 抗击黑产 阿里安全八大实验室首秀技术实力
在“4.29”首都网络安全日上,阿里巴巴通过其八大实验室首次集中展示了其强大的安全技术能力。据介绍,八大实验室由双子座实验室、猎户座实验室、潘多拉实验室、归零实验室和钱盾反诈实验室、米诺斯实验室、图灵实验室以及蚂蚁金服光年实验室组成,涵盖AI前沿技术、IoT安全、系统安全、应用安全、数据安全与隐私保护、反欺诈等技术领域,并建立了全面、纵深的安全矩阵。这些技术能力目前已为手淘、天猫、支付宝、闲鱼、优...转载 2018-05-02 16:59:07 · 2597 阅读 · 0 评论 -
阿里云在RSAC 2018上宣布 将在西雅图建立安全实验室
日前,2018年度的RSA Conference全球信息安全大会在美国加州旧金山市召开。作为全球三大云计算服务商之一,阿里云携3款全新安全产品亮相,并宣布今年将在西雅图设立全新的安全实验室,整合全球安全科研资源,专注前沿互联网安全技术研究。阿里云安全事业部总经理肖力表示:云正在驱动全球数字化转型。在安全领域,我们结合了阿里巴巴超过18年的技术积淀,和云本身的计算能力以及规模化优势,为全球企业提供极...转载 2018-04-20 16:18:01 · 357 阅读 · 0 评论 -
【阿里聚安全·安全周刊】 全美警局已普遍拥有破解 iPhone 的能力 | 女黑客破解任天堂Switch,称硬件漏洞无法修复
本周的七个关键词: 破解 iPhone丨 女黑客破解任天堂丨假的身份证 丨 扫黄打非丨华盛顿特区发现手机间谍设备 丨 Telegram被俄罗斯监管机构告上法庭丨价值5万美金的Firefox浏览器漏洞 -1- 【iOS】 全美警局已普遍拥有破解 iPhone 的能力来源:MacX------------------------------------------------------来自 Mo...原创 2018-04-13 15:20:49 · 431 阅读 · 0 评论 -
露脸!钉钉通过SOC2隐私性原则审计,安全和隐私保护达超一流国际标准
2018年4月3日,阿里巴巴钉钉宣布已经正式通过了两项安全方面的权威资质:SOC2Type1服务审计报告和ISO27018(公有云体系下的隐私保护)证书。钉钉方透露,此次通过美国注册会计师协会(AICPA) 制定的SOC2审计标准,报告由国际审计师事务所普华永道出具。在SOC2Type1报告中,钉钉通过了安全性,保密性和隐私性三项原则的审计,而通过隐私性原则审计,钉钉在国内是第一家。据了解,目前在...转载 2018-04-03 16:55:20 · 1541 阅读 · 0 评论 -
BAT齐聚阿里安全-ASRC生态大会:呼吁联合共建网络安全白色产业链
图说:近日,阿里安全-ASRC生态大会在杭州举行,包括BAT在内的20余家国内知名互联网企业代表,回顾过去一年网络安全面临的问题与挑战,共谋生态安全治理思路。“123456、111111、123123……,通过10个简单密码,即可控制互联网上10%以上的设备。”因网络基础设施太过脆弱,新型网络环境下IoT等网络安全漏洞被黑灰产利用的现象正愈加频发。3月31日,阿里巴巴、腾讯、百度、微博、滴滴等20...转载 2018-04-03 15:08:41 · 392 阅读 · 0 评论 -
阿里安全图灵实验室再次刷新世界顶级算法比赛成绩
(*via华蒙)近日,阿里安全图灵实验室(Alibaba Turing Lab)在Pascal VOC挑战赛(Pattern Analysis, Statical Modeling and Computational Learning)的目标检测(Object Detection)之Competition 3 :TRAIN ON PASCAL VOC DATA项目中获得了74.8分,刷新了该项检测...转载 2018-03-28 11:14:55 · 486 阅读 · 0 评论 -
全国首批数据安全能力成熟度专业测评师即将出炉
数据安全是当前大数据时代的新课题。科学有效地进行新时代下的数据安全治理,确保数字经济的持续健康发展,是国家经济、社会发展的重要任务。我国的《网络安全法》以及相关细则也对数据安全提出了非常具体和明确的要求。2018年3月12日,由贵州大数据安全工程研究中心主办的《数据安全能力成熟度测评师》培训在京举行了启动仪式。贵州大数据安全工程研究中心主任杜跃进博士,贵阳国家经济技术开发区管委会副主任余大林,贵阳...原创 2018-03-14 13:20:07 · 639 阅读 · 0 评论 -
厉害了!阿里安全图灵实验室在ICDAR2017 MLT竞赛刷新世界最好成绩
近日,阿里安全图灵实验室(Alibaba Turing Lab)的ATL Cangjie OCR算法在ICDAR2017的MLT(Competition on Multi-lingual scene text detection)自然场景多语言文本检测竞赛中刷新了世界最好成绩,以73.52%的Hmean排名第一。(竞赛结果页面:http://rrc.cvc.uab.es/?ch=8&com...原创 2018-03-14 11:28:14 · 445 阅读 · 0 评论 -
从SHAttered事件谈安全
几日前Google的研究人员公开了2个PDF文件,笔者也第一时间下载并按提示检查了SHA-1的校验值。原创 2017-02-27 11:21:33 · 875 阅读 · 0 评论 -
30万奖金!还带你奔赴加拿大相约KDD!?阿里聚安全算法挑战赛带你飞起!
请对着30万奖金和加拿大的KDD门票,真诚地摸着自己的良心说你想不想去:)原创 2017-01-19 15:18:18 · 1520 阅读 · 0 评论 -
ES6中的模板字符串和新XSS Payload
XSS的实战对抗中,由于防守方经常会采用各种各样严格的过滤手段来过滤输入,所以我们使用的XSS Payload也会根据实际情况作出各种各样的调整.原创 2016-11-09 17:11:16 · 1052 阅读 · 0 评论 -
阿里聚安全受邀参加SFDC安全大会,分享互联网业务面临问题和安全创新实践
本次SFDC北京安全大会,分享日常开发中的各类技术安全问题、对应的解决方式,以及行业的探索思考,带来全新的参与体验。原创 2016-10-27 14:44:05 · 1299 阅读 · 0 评论 -
保护8亿终端 阿里聚安全携手信通院打造B2C资金安全闭环
9月21日,2016国家网络安全周期间,阿里聚安全与中国信息通信研究院就未来的技术合作签署合作协议,用安全技术创新联手对抗电信诈骗。原创 2016-09-26 10:36:50 · 1048 阅读 · 0 评论 -
2016 中国互联网仿冒态势分析报告
2016 中国互联网仿冒态势分析报告,基于阿里聚安全在2016年1-8月收录的APK样本数据,从16个行业分类分别选取了15个热门应用,共240个应用进行仿冒分析。原创 2016-09-22 15:02:40 · 803 阅读 · 0 评论 -
2016云栖大会即将开幕,阿里聚安全邀您共同见证盛典
各路互联网精英与行业大咖蜂拥齐聚,共同见证这场无与伦比的互联网盛会,一起感受前沿科技成果的精彩!原创 2016-10-10 16:11:49 · 819 阅读 · 0 评论 -
业务安全通用解决方案——WAF数据风控
“你们安全不要阻碍业务发展”、“这个安全策略降低用户体验,影响转化率”——这是甲方企业安全部门经常听到合作团队抱怨。但安全从业者加入公司的初衷绝对不是“阻碍业务发展”,那么安全解决方案能否成为“业务促进者”,而非“业务阻碍者”呢?答案是肯定。安全和业务接耦,对客户透明的安全产品,如防火墙、IDS、WAF等就很少遭受到类似的吐槽。但回归到互联网业务安全场景,现在业务安全防控常见场景往往如下:场景一:安原创 2016-09-13 14:06:23 · 1327 阅读 · 0 评论 -
机器人的洪流:刷库、撞库那些事儿
面对社会上层出不穷的诈骗新闻,我们可以发现骗子们诈骗成功的一个关键是:骗子们知道你叫什么、住在哪里、买了什么东西、花了多少钱。这些信息骗子们是从哪里得来的呢?原创 2016-08-31 16:38:06 · 2829 阅读 · 1 评论 -
互联网业务安全之通用安全风险模型
业务安全从流程设计维度可划分为账户体系安全、交易体系安全、支付体系安全、用户信息存储安全。后者对普通用户而言基本属于透明状态,对于电商/互联网金融/社交媒体更多面临的业务安全风险集中在账户/交易/支付三个维度内。原创 2016-08-17 16:20:37 · 2098 阅读 · 0 评论