泌冲-CSDN博客

原创 iOS马甲包上架问题整理

我们首先要明确的一点是，苹果官方本身是反对这一行为的，因为app store的本身资源是有限的，而且马甲包的代码一致问题，审核4.3基本一次一个准。因为马甲包肯定是不合规的，随时有被干掉的风险，如果你这个账号下面还有其他app，那么就有可能被波及，所以尽量使用新的账号，安全第一。App上架到App Store会经过机审（审核代码重复率）和人审（审核UI问题）两个步骤，而马甲包很可能在这两个地方都会被卡，即使上架之后，也很容易被下架，这是开发者要承担的风险之一。只能说，采取某些方法增加上架的概率。

2023-08-15 14:57:15 943

原创运营商的风控难题该如何破解？

以营销活动脚本作弊场景为例，黑灰产滥用平台的各种营销活动机制，如新人奖励、用户裂变拉新奖励、签到奖励、秒杀优惠等，利用批量账号和自动化软件脚本（产生大量机器流量），绕过平台设定的限制规则，以积少成多的方式，大量地获取营销活动礼包，然后将现金聚集到统一账号，或将红包、优惠券、电子券等以不同方式进行变现获利。这个产业是运营商独有的难题：部分虚拟运营商走线上渠道吸引用户效果不理想，为盲目追求用户数字，便利用线下渠道养卡，即兜售给卡贩子，由此滋生了非实名卡、黑卡等乱象。恶意爬虫的危害，不一而足。

2023-08-01 15:57:53 802

原创【日常分享】Xposed框架究竟是啥？

今天在处理一个客户App加固的时候，看到老大用到了Xposed，一时竟不知道这是什么东西。今天就沉下心来，写写做个笔记。

2023-07-26 15:11:25 690

原创 NFT和数字藏品的安全方案解析

比如BTC（比特币）、ETH（以太币）这些代币都是同质代币，所以相互之间是可互换的，也就是说，你的一枚ETH 和我的一枚ETH 本质上都是一样的，具有相同的属性、价格。而不可互换的代币，或者非同质代币，它们都是独一无二的，就像是艺术品，每件都不一样。可以理解为中国特色，本质上为受监管的NFT，是使用区块链技术进行唯一标识的经数字化的特定作品、艺术品和商品，比如数字画作、图片、音乐、视频、3D模型等。当然，每个数藏平台的安全需求都是不一样的，因此可以找第三方安全公司定制一套安全风控系统，保障整个平台的风险。

2023-07-25 16:29:02 1264

原创 App风险千千万，我们今天来盘点一下......

下载渠道广泛，鱼龙混杂，恶意应用隐藏其中，守株待兔。应用运行环境复杂，ROOT技术，模拟器技术，反调试工具对于应用形成巨大威胁。移动互联网技术处于高速发展阶段，软硬件更新频繁，漏洞、后门层出不穷。

2023-07-20 16:31:21 261

原创 uniapp中超好用（且免费）的安全类插件推荐！（持续更新中）

前几天写了一篇所以说，更加证明了我说的第一个问题：现在用uniapp的人是越来越多了。而通过使用uniapp上自带的插件，也是能够实现事半功倍的效果，让不懂前端的同学也能快速上手，成为一个全栈！今天我们就来盘点一下uniapp中哪些超好用，且免费的插件！

2023-07-19 15:20:23 889

原创爬虫与反爬虫的攻防对抗

爬虫最早源于搜索引擎，它是一种按照一定的规则，自动从互联网上抓取信息的程序，又被称为爬虫，网络机器人等。按爬虫功能可以分为网络爬虫和接口爬虫，按授权情况可以分为合法爬虫和恶意爬虫。恶意爬虫主要以获取对方本不愿意被大量获取的网页数据为主要目的，可能给相关服务器性能造成极大损耗。如今数据资源越来越珍贵，利用爬虫技术爬取有价值的数据，成为很多公司弥补自身先天数据短板、提高自身估值的不二选择。网页爬虫：根据网页上的超链接进行遍历爬取接口爬虫：通过构造特定API接口请求数据获得大量网页数据信息。

2023-07-18 16:05:29 3030

原创【干货分享】uniapp做的安卓App如何加固

本工具用于对android加固后的apk进行重新签名。版本文件备注Windows版apk签名工具压缩包.exe该版本包含Java运行环境，不需要额外安装。通用版Adoptium。本工具依照Apache 2.0协议开源，可以在这里查看源码。使用说明下载签名工具dx-signer.jar，双击运行。选择输入apk、aab文件。选择签名的key文件，并输入key密码。选择重签后apk、aab的路径，以apk结束。如：D:\sign.apk点击“签名”按钮，等待即可签名完成。

2023-07-17 15:41:28 2088

原创出海企业系列风险分析--网站需要验证码吗？

公司出海不容易，或者说，搭一个海外的网站不容易，大家前期的防护一定要做好，不然就很容易直接被人冲了。

2023-07-13 11:17:36 470

原创深度解析人脸识别绕过问题及解决方案

对于人脸识别攻击手段的防控，要做到全流程的闭环，需要从威胁感知、防护处置、数据挖掘、监控预警、行为分析下功夫，目前主流厂商也基本是从方式入手去升级自己的系统。目前主要被攻击的对象集中在金融行业，尤其是银行，毕竟钱在那里…所以银行风控人员需要提起足够高的重视，让不法分子不论采取哪种手段都无法攻破自身的防御系统。（自我举报说要去抢银行的不算）如果需要人脸识别解决方案，戳>>>人脸识别解决方案。

2023-07-12 16:07:01 604

原创出海企业系列风险分析--App出海注意事项

整体而言，企业出海绝对是一条“致富路”，但是也绝不能盲目出海，需要对出海国家进行一定的政策与国情了解，在安全方面务必要做到位，而在隐私安全和合规方面，则要做到120%，不然下一个Tik Tok说不定就是你了（不是褒义的意思！

2023-07-11 11:44:36 422

原创出海企业系列风险分析--支付欺诈

尤记得过年的时候，北方都在庆祝春节，而南方部分城市已经在为明年的打工人出海寻求机遇了。从2020年起，新冠疫情席卷全球，全球零售链路受到冲击，消费者大规模向线上转移，全球主要国家和地区网络零售进入高速增长期，也为跨境电商发展提供了充足的成长空间。此外，在独立站、直播短视频、社交媒体的带动下，跨境电商DTC模式出现爆发式增长，为出海企业创造了全新链路，跨境电商进入多模式并行阶段，同时形成全新的跨境电商产业生态。

2023-07-10 11:52:18 138

原创从被民警打电话看银行如何进行反欺诈

以上就是关于银行的反欺诈系统的配置，具体到每个银行又会有不同（可能因为他们的数据源和数据类型不同，例如，某些银行可能依赖内部数据，如客户交易历史和行为模式，而其他银行可能使用外部数据源，如黑名单、信用评分和公共数据）。如果需要完整的反欺诈解决方案，可以戳>>>电信反欺诈方案。

2023-07-06 17:07:51 272

原创浅谈金融场景的风控策略

其实回到我们现实当中，我们国内缺的从来不是策略，而是将策略贯彻的决心与环境。反击黑产丨横跨25省，受理案件183起，持牌金融机构配合警方抓获犯罪嫌疑人151人大家一起加油吧PS：了解风控系统。

2023-07-05 15:06:39 1081

原创【Part 2】博物馆防刷票小程序接入无感验证--跳转式接入

跳转式会比插件式接入更简单一点，所以更加推荐跳转式。后面有机会再来写支付宝小程序的验证码接入~~

2023-07-04 15:03:10 178 1

原创【Part 1】现在去博物馆都预约不上了，黑产多少有点疯狂了

近几年不知道为啥，突然兴起博物馆热了，去某个城市，总想去当地的博物馆去打卡（当然，可能重点还在打卡）。但是周末去湖南省博物馆，发现免费的博物馆，现在已经预约不上了，最后问了一下，说是可以海鲜市场代约。平时代抢的价格在45-80块钱左右，周末就贵很多，上涨到80-109之间，就离谱。作为安全圈的人，这一下就想到了黑灰产。这性质，难道不是和演唱会的门票一样吗？买不到票，得找黄牛。就我登录的小程序流程来看，没有什么验证码措施，只是会让手机登录，所以整个网站的防御措施是很弱的，这黄牛抢票不是轻而易举？

2023-07-03 14:27:23 663

原创浅析舆情监测系统

大家对于“舆情”应该有一个简单地概念，尤其是在现在微博、微信、知乎、抖音等平台普及化的今天，舆情的力量日渐凸显。比如最近萧敬腾的求婚、《消失的她》的热议、ikun的翻车等等，舆情既可以让明星塌房，也会让一些黑暗曝光在阳光下，但是还有时候会裹挟舆论，让事情变得难以控制。因此，对于舆论的监测和正确引导就比较重要，尤其是对于一些明星背后的团队来说。今天我们就来浅浅的讲一下舆情检测和内容安全系统。在开始之前，我们先对舆论要素做一个简单了解：简单来说，网络舆情是以网络为载体，以事件为核心，是广大网民情感、态度、意见、

2023-06-29 11:39:44 239

原创应用隐私合规检测要怎么做？

总体来说，如果自己去做应用隐私合规的检测，不大划算，如果找机构的话，一个是比较专业，另外一个则是会出具一份比较专业的报告，而且会得到一些比较专业的指导意见，性价比比较高。以上。如果需要比较专业的隐私合规检测服务，可以戳>>>隐私合规检测服务。

2023-06-28 10:57:56 482

原创【今日思考】如何实现跨浏览器设备指纹识别

回到我们前面说的问题，目前市场上对于跨浏览器设备指纹识别有一定的需求量，但是还没有一个比较完善的方式来平衡各个内核与碰撞机率之间的关系，如果有企业需要，那么必须得做出取舍。以上。如果需要设备指纹，可以戳>>>免费体验。

2023-06-27 10:30:15 458

原创实践指南 | 风控引擎快速接入不同数据源的操作说明

除了上面展示的两种方式，还可以试试ETL工具。而Nifi除了提供接入功能之外，还提供了数据流程的监控、错误处理、容错机制等功能，以及可视化的界面来管理和监控数据流程。整体来说，数据源是风控引擎的本质所在，所以在数据源的接入方式上可以多选择多参考，最终的数据才能为决策作参考。以上。如果需要现成的风控引擎，可以戳这里>>>免费体验。

2023-06-26 09:54:45 505

原创 AI换脸背后的产业链详解，往后神仙姐姐背后有可能是......

第三代人工智能：其实这个概念是基于IBM提出的知识驱动的第一代人工智能以及谷歌提出的数据驱动的第二代人工智能而言的。第三人工智能是多元驱动的AI，驱动因素包括知识、算法、算力、数据等，打造了一个可靠、可信、安全、可扩展的人工智能技术。对抗样本攻击AI技术的发展，让黑灰产多了很多工具，受威胁最大的应该是金融行业，因为其中的人脸识别技术对于黑灰产有很大的利用空间，所以金融行业更应该“魔高一尺道高一丈”，去从根本上解决问题，这样也能够减少后续的定责问题。以上。如果需要银行风控系统，可以戳这里>>>免费体验。

2023-06-25 10:51:05 250

原创一招解决黑灰产的无孔不入（内含黑灰产简介）

目前我们网络黑灰产的从业人数已经超过1000万（和今年毕业的大学生人数有的一比了），其产业造成的损失每年也已经超过千亿。如今数据泄露已经成为社会问题，也引起了各大企业的重视。并且有个点（可能会被喷），部分的黑灰产的安全攻防人员专业度已经超过我们很多安全技术人员了。毕竟只有千年做贼的，没有千年防贼的。那在我们的AI技术加持之下，我们后续的黑灰产发展必将和产业链会进一步深度融合，同时目前有一个很显著的特征是：黑灰产正在尝试将自己的攻击行为隐藏在其他用户的行为之。

2023-06-20 11:15:57 863

原创【干货分享】安卓加固原理分享

之前写过几篇，感兴趣可以看一下。最近攒了一下收集的一些资料，打算简单写一下安卓加固相关的内容。今天先简单写一篇安卓加固原理的分享。

2023-06-14 15:32:31 1188

原创为什么H5是黑灰产高发区？一文说明白

H5代码混淆产品，通过多层加密体系，对H5文件进行加密、混淆、压缩，可以有效防止H5源代码被黑灰产复制、破解。当然，实际的代码混淆技术可能更加复杂。而且，代码混淆并不能完全阻止源代码的泄露或逆向工程，但可以增加攻击者分析和理解代码的难度。H5现在的使用场景其实更多可能偏向日常的投票场景、活动场景以及游戏营销等等，其实使用场景很少了，但是一旦被攻击，尤其是对于运营商这种大厂来说，危害性还是很大的，企业或者说公司还是需要注意这方面的安全。如果需要H5代码混淆产品，戳>>>免费试用。

2023-06-13 14:41:58 683

原创 26键 or 九宫格？不论哪个都不耽误黑客们窃取你的信息！

目前金融银行等App一般都会使用乱码的键盘去防劫持，但是在技术发展的同时，黑灰产目前已经通过深度学习等方式找到破解方式，所以我们更需要“魔高一尺道高一丈”，去超前与黑灰产对抗。

2023-06-12 15:32:31 767

原创父母在家千万注意别打开“共享屏幕”，银行卡里的钱一秒被转走......

防劫持SDK是具备防劫持兼防截屏功能的SDK，可有效防范恶意程序对应用进行界面劫持与截屏的恶意行为。这种事情层出不穷，真的不是吾等普通民众能解决的，最好有从上至下的政策让相应的厂商（尤其是银行和会议类的APP）统一做处理，这样我们在外打工的人才能安心呀。

2023-06-08 14:52:33 2558

原创设备指纹系列--后端篇

上接前文，我们继续来说设备指纹的后端接入方式。--------------------------------------我是分割线----------------------------------------根据token,appId,sign三个参数获得设备信息。

2023-06-07 14:48:21 798

原创设备指纹系列--前端篇

我们接着前文继续写关于设备指纹前端接入方面的内容。话不多说，直接步入正题。我们会在下文展示5种前端接入的方式，包括。

2023-06-06 14:24:31 1973

原创设备指纹系列--基础篇

618还没开始，但是又好像已经结束了…因为，黑灰产拥有专业的设备牧场，通过使用模拟器、刷机改机等手段，批量、反复地利用终端设备作案。而设备指纹，通过用户上网设备的硬件、网络、环境等设备特征信息，生成可抗黑产破解的设备唯一标识。PS：因终端用户的设备网络环境和设备版本等因素，设备指纹采集率并不能一定达到100%，可能会存在极少部分未能正常采集到的情况。，业务客户端需要集成指纹客户端SDK，包括安卓，iOS，H5，小程序等；，业务客户端在需要设备指纹token的时候，可以通过相应的api获取到。

2023-06-05 15:05:27 729

原创 Android如何进行白盒加密SDK？一文搞定！

白盒加密SDK的目的是帮助客户端低成本接入高标准的安全保护机制，免受恶意安全攻击，从而集中精力建设业务本身。话不多说，我们今天来看看Android可以如何接入白盒加密SDK。

2023-06-01 11:22:58 508

原创杭州五月天演唱会门票背后的黑灰产防范技术剖析

其实，粉丝们再怎么抗拒黄牛，黄牛都是“野火烧不尽，春风吹又生”，只能是主办方从技术手段上尽可能降低黄牛的风险，从而保证广大粉丝公平买票的权益。如需要免费的验证码产品，请戳>>>顶象验证码。

2023-05-31 10:51:05 125

原创所有的软件都能被破解？一套组合拳提高软件安全性！

作为乙方，或者说作为打工人，甲方以及老板经常会问，“我们软件的安全性怎么样？“能做到百分比安全吗？“我们怎么才能让软件百分比安全？诸如此类的问题，往往让我们胸闷气短，在这里，我教大家一招：与其精神内耗自己，不如发疯外耗别人。咱就直接坦荡荡告诉他：老板，可以的，这取决于你能拿出多少钱来！微笑.jpg话说回来，安全界最基础的一条定律：安全无绝对。也就是说，那么我们如何提高软件的相对安全呢？目前业界采取的比较多的一套组合拳是加固+代码混淆+加密SDK。我们接下来一一来介绍一下。

2023-05-30 10:44:24 262

原创 iOS加固保护新思路

iOS加固保护是基于虚机源码保护技术，针对iOS平台推出的下一代加固产品。可以对iOS APP中的可执行文件进行深度混淆、加固，并使用独创的虚拟机技术对代码进行加密保护，使用任何工具都无法直接进行逆向、破解。对APP进行完整性保护，防止应用程序中的代码及资源文件被恶意篡改。

2023-05-24 15:18:16 396

原创银行业信贷不良率上升，我们能从哪些技术角度发力？

不良贷款可能导致银行的资产质量下降，需要为不良贷款计提拨备，这毫无疑问将减少银行的利润。因此银行需要积极应对不良贷款问题，加强风险管理和贷款审批程序，以保持良好的业务运营和金融稳定性。免费试用。

2023-05-23 14:57:59 166

原创在移动端推广APP时，如何防止作弊流量?

移动App的推广，必然会碰到刷流量的情况，如果要减少损失，就必须在前期做好防范准备。祝各位好运~

2023-05-17 11:29:24 381

原创代码混淆只是降低了可读性，安全性并没有得到实质提升？

面对客户的问题，我们要跳出和客户battle的恶循环，“听之任之”，逐渐让客户意识到，在安全的世界里，是没有绝对的事情的，“魔高一尺道高一丈”，我们具有的永远是相对优势。2.提高反编译难度：代码混淆技术通常会应用一系列转换和变换，如代码重排、添加无意义代码和控制流混淆等，以增加反编译的难度。在客户问出来这个问题的时候，我们其实心里要有数，因为客户对“代码混淆”的概念一知半解，而这，正好是我们通过我们的专业拿下客户的好时机。当然，实际使用的时候，代码会更复杂，黑灰产的破解成本也会成倍提高。

2023-05-15 15:02:31 135

原创我网站使用了短信验证码，还需要配图片验证码？

CDN上面放置的是验证码以及验证的JS文件，而这，主要是由客户端来加载。不过上面使用的是顶象的验证码库，使用之前，需要先注册顶象的服务并获取相应的API密钥和验证码ID。实际上，真正的从技术底层上来说，验证码对抗的是黑灰产的人工智能，对抗的是卷积神经网络技术。在安全通信模块，黑灰产在破解验证码的时候，其可能会首要去考虑逆向网站的JS 、知道通信协议以及参数获取，这是攻防对抗比较重要的一环。黑灰产如果想破解验证码，首先第一步，要完成“识别”这个能力，也就是，它需要有能力知道这张图片上的答案目标在哪里。

2023-05-11 15:20:23 170

空空如也

空空如也