How You Get Shot in the Back: A Systematical Study about Cryptojacking in the Real World
- 作者: 洪赓@复旦大学
- 收录:
- 简介:
随着17年比特币等数字加密货币价格的全线上涨,比特币、莱特币、门罗币等加密货币逐渐走入人们的视野之中。利益驱使着黑客们把目光从正规渠道挖矿转向盗取他人计算资源挖矿。近来,互联网上有用户、媒体反映其在访问一些网站的时,电脑会变得十分卡顿,甚至完全卡死。经研究发现,该情况是由于一些不法分子在web服务器上部署恶意脚本进行挖矿造成的。在网页上挖矿的危害是巨大的,轻则会使用户在毫无防备的情况下电脑变慢、卡
移动应用内嵌浏览器恶意行为检测与分析
- 作者: 夏昊@复旦大学
- 收录:
- 简介:
目前,内嵌式浏览器(WebView)被广泛应用在移动应用中,用来集成各种各样的Web服务。这种方式可以简化开发过程并保持在不同平台的可移植性,但是也给被集成的Web服务带来了数据泄露的风险。我们系统化地分析了这种新型威胁的技术原理,并提出了同安全主体原则来区分恶意行为和正常行为。我们综合利用程序静态分析、自然语言处理以及搜索引擎技术,开发了自动化检测工具,并在Android和iOS官方应用商城中检
FUZE:辅助生成内核UAF漏洞利用
- 作者: 吴炜@中国科学院大学
- 收录:
- 简介:
软件提供商常常根据漏洞可利用性来安排漏洞修复优先级。但是确定漏洞可利用性通常耗费大量时间和人工分析。为解决这个问题,我们可以采用漏洞利用自动生成技术(AEG)。但在实际中已有的技术并不能应用于解决内核释放后重用漏洞(UAF)。这主要是因为UAF漏洞利用和内核执行环境的复杂性。在本文中我们提出了FUZE——一个为内核UAF利用提供便利的框架。具体来说,FUZE使用内核模糊测试以及符号执行来发现、分析
司南: 定位二进制代码中的不安全密钥
- 作者: 李卷孺@上海交通大学 蜚语( G.O.S
- 收录:
- 简介:
密钥(crypto keys)是现代密码学中至关重要的秘密信息,也是密码系统中需要保密的唯一元素。理解密钥在密码软件中的使用、发现不安全的密钥使用特例,对于密码学系统的安全审计而言极为关键。为了帮助分析人员更好地定位密钥、分析密钥在软件中(特别是二进制代码中)的使用,我们设计并实现了K-Hunt,一款基于二进制代码插桩分析的密钥自动化安全分析系统。K-Hunt关注密钥使用的本质特征从而定位密钥区域
现代隐私权:“社交网络与机器学习模式”案例研究
- 作者: Yang Zhang
- 收录:
- 简介:
2018年12月19日,德国信息技术安全、隐私及责任中心(CISPA)张阳博士在清华大学以《现代隐私权:“社交网络与机器学习模式”案例研究》为题,带来了一场精彩的报告。 他在报告中分享了他们在社交网络数据和机器学习模型的隐私风险评估方面的最新工作。他指出,我们关注在线社交网络中流行的位置打卡(location check-in)和话题标签(hashtag),我们的研究结果表明基于位置打卡数据