移动应用安全特指在移动应用领域的安全。无论是iOS系统还是Android系统，应用安全已经成为移动互联网的第一焦点。手机安全问题日益严峻，恶意软件层出不穷，不仅严重威胁到用户的个人隐私，还可能给用户造成财产损失。正是因为移动应用数量火爆增长且移动应用市场无法辨别恶意软件，才导致恶意软件泛滥。Android手机应用数量增长迅猛，各类应用大量出现在应用商店和网站上，其中充斥着很多山寨应用，用户在分不清真假的情况下很可能下载到被植入恶意代码的App。

相关调查结果显示，手机病毒带来的主要危害包括恶意吸费、诱骗欺诈、系统破坏和隐私获取四大类，占比高达96%，其中窃取个人隐私占比...

Read more

移动应用安全的最佳实践可确保应用无风险且不会泄露用户的个人信息。对于开发人员来说，确保在将应用程序上传到应用程序商店以供公众使用之前执行所有安全检查非常重要。面向公众的应用程序通常是客户和组织之间唯一的沟通桥梁，也是黑客的主要目标。大多数面向公众的应用程序在设计时都会以兼容市面上所有设备机型为重点，但是，这种方法使应用应用程序容易受到攻击。开发人员需要保持严格的过滤机制，尽可能构建能够阻止任何可能攻击的安全应用程序。

而针对移动应用来说，常规的安全实践方法有哪些呢？

风险分析

为了将安全风险归零，开发人员可以进行威胁建模训练。移动应用程序业务面临的最常见风险如下...

Read more

前言

SCA又称侧信道攻击，核心思想就是通过运行时候各种信息对程序进行攻击。包括简单功耗分析攻击（SimplePower Analysis attacks,SPA）和差分功耗分析攻击（Differential　Power　Analysis　attacks,DPA），与传统密码分析学相比，这种攻击手段攻击效果显著。

VM加密

这里使用的是自己写的一个CrackMe，不使用除了IO的任何系统函数

#include <stdio.h>
#include <string.h>
​
const char ke...

Read more

根据2021年的统计报告，全球智能手机用户数为63.78亿，占全球人口总数的80.69%，移动应用安全在企业的安全体系中占据半壁江山，尤其对于移动端产品为主的公司而言，目前监管部门已经立法与加强监管力度执行数据保护措施，忽视移动应用上的个人信息数据保护措施将会面临行政处罚，严重时应用可能会面临40天的下架，所以构建安全的移动应用与应用业务或应用算法一样重要，而一种结构化的应用程序安全方法-安全开发生命周期（SDL），可用于移动应用软件开发和维护的所有阶段，作用于加强应用安全性和合规性。

1、SDL带来的显著效益

①　更高的安全性。在SDL中，持续监控漏洞可提高应用程序...

Read more

前言

Cheat Engine是一款专注于游戏的作弊器。它可以用来扫描游戏中的内存，并允许修改它们。这个工具也许没有听说过，但是十几年前大名鼎鼎的金山游侠想必每个人都用过。

Rust具有快速,跨平台,低资源占用的优点，偶然机会下看到了一个用Rust写的项目，喜欢于他的语法简练，聚集很多编程语言优点于一身。于是借着空闲时间去学习Rust，想到很多年没用的WinApi正好借着这个机会复习下，便有了以下的内容。

搭建Rust环境

可参考https://www.runoob.com/rust/rust-setup.html

枚举进程

这里使用的是CE自带的demo

Read more

 2021年12月6日，蛮犀安全实力上榜 FreeBuf《CCSIP 2021中国网络安全产业全景图》。

 

 

《CCSIP 2021中国网络安全产业全景图》（第三版）最终展示87个细分安全领域，收录578家安全厂商，为企业安全建设及产品选型提供参考。

 

 

本次入选FreeBuf《CCSIP 2021中国网络安全产业全景图》，是业内专家与客户对蛮犀安全的产品、技术与服务的高度认可。蛮犀安全（MANXI SECURES）是全球专业的移动应用安全综合服务提供商,专注于移动应用安全、安全大数据及物联网安全，...

Read more

 网络安全公司的技术特点有哪些

网络相关的用途在不断的开发，而且从常规的一些办公需求的落实到更多经营平台的搭建，使得对于网络安全的要求越来越高。而在这样的基础上单靠日常的管理是很难实现的，靠专门的网络安全公司则可以更好的发挥作用，尤其其更超前的技术所能够带来的保障更是值得被肯定。

一、不断的优化新的技术手段，确保技术能够跟得上更多隐患的处理

与时俱进的网络安全公司非常注重发展和提升，尤其在互联网迅猛发展日新月异的大环境下，其在安全保障功能的实现上也需其要别具一格，只要不断的跟进新的隐患，出现及时有效的解决，并且能够有一定的预警性。技术更新速度提升、技术...

Read more

 许多人将 M4 风险与 M6 风险混淆，因为它们都与用户凭证有关。开发人员应记住，不安全授权涉及攻击者利用授权过程中的漏洞以合法用户身份登录，这与不安全身份验证不同，在不安全身份验证中，攻击者试图通过以匿名用户身份登录来绕过身份验证过程。

不安全的授权 风险

对管理端点的不受管制的访问

在 M6 风险下，一旦攻击者以合法用户身份访问应用程序，他们的下一个任务就是通过强制浏览到可以执行管理命令的端点来获得管理访问权限。攻击者通常在移动设备中使用僵尸网络或恶意程序来利用授权漏洞。这种安全妥协的结果是攻击者可以在离线模式下对设备进行二进制攻击。

IDOR 访问

Read more

 在应用准备投入生产之前，开发团队通常会将代码保存在其中，以便轻松访问后端服务器、创建日志以分析错误或携带暂存信息和测试详细信息。此代码与应用程序的功能无关，即一旦应用程序投入生产，它就对预期用户没有用处，仅在开发周期中需要。

额外的功能 风险

在大多数情况下，良性代码不会为获得访问权限的对手提供额外优势。但是，在某些情况下，此代码可以携带与数据库、用户详细信息、用户权限、API 端点等相关的信息，或禁用两因素身份验证等功能。

避免无关功能的最佳实践

开发人员应该知道自动化工具无法始终检测到 M10 风险的存在。通常情况下，在将应用程序推送到应用程序商店之...

Read more

 动态应用程序安全测试 (DAST) 是一种黑盒安全测试方法，其中从外部测试应用程序。使用 DAST 的测试人员会在应用程序在生产环境中运行时对其进行检查，并尝试像攻击者一样对其进行破解。DAST 扫描器与技术无关，因为它们从外部与应用程序交互并依赖于 HTTP。它使它们可以与任何编程语言和框架一起使用，包括现成的和定制的。

DAST 扫描程序在扫描 Web 应用程序之前首先对其进行爬网。这让扫描器可以找到 Web 应用程序中页面上所有暴露的输入，然后对这些输入进行一系列漏洞测试。DAST 测试可以查找范围广泛的漏洞，包括可能使应用程序容易受到跨站点脚本或 SQL 注入攻击的...

Read more