- 博客(38)
- 收藏
- 关注
原创 【论文总结】V-Shuttle:可扩展和语义感知的 Hypervisor 虚拟设备模糊测试
这是来自2021 CCS的一篇论文,作者有GaoningPan, Xingwei Lin, Xuhong Zhang, Yongkang Jia, Shouling Ji, Chunming Wu, Xinlei Ying, Jiashui Wang, Yanjun Wu。该论文提出V-shuttle的新框架来执行管控程序的模糊测试,该框架执行可扩展和语义感知的管理程序模糊测试。
2023-04-14 19:43:04
764
原创 【论文总结】针对操作系统级虚拟化的抽象资源攻击
这篇论文揭示了一种操作系统级虚拟化的固有问题-共享内核变量和数据结构。和物理资源(CPU,内存)相比,这些内核变量和数据结构也被称为抽象资源。基于这些共享抽象资源,该论文提出一种新型攻击 - 抽象资源攻击。
2023-04-10 12:55:31
959
原创 【论文总结】了解跨云物联网访问授权中的安全风险
一般情况下,IoT设备在供应商指定的云平台下进行管理,设备和用户也可以通过云来进行连接交互。目前,一些主流的IoT云平台还支持跨供应商的设备访问管理, 例如Philips和SmartThings云支持委派设备访问另一个云(Google Home),这样用户就可以通过Google Home来管理来自不同供应商的多种设备。作者发现在缺少标准化的IoT委派协议的情况下,IoT云委派机制存在普遍的安全缺陷。
2023-04-10 12:48:57
526
3
原创 【论文总结】理解和减轻IoT消息协议的安全风险
这是一篇来自2020S&P论文,作者有Yan Jia, Luyi Xing, Yuhang Mao, Dongfang Zhao, XiaoFeng Wang, Shangru Zhao, and Yuqing Zhang。本文首次对主要的IoT云平台与设备通信消息协议的安全性进行了系统研究,作者发现这些云平台上的消息传输协议很容易受到攻击,并且利用这些漏洞进行攻击会造成严重后果。为此,作者提出了IoT云端通用消息协议的安全原则,并且提出和实施了端到端保护的方法。
2023-04-10 12:26:44
470
原创 【论文总结】端对端的方法检测云供应商是否容易受Rowhammer攻击
这是一篇来自2020S&P的论文,作者是Lucian Cojocar, Jeremie Kim, Minesh Patel, Lillian Tsai, Stefan Saroiu, Alec Wolman, Onur Mutlu。该论文是从硬件的角度分析云计算安全。
2023-04-10 12:13:51
337
原创 【论文总结】使用客户端加密实现安全的基于 Web 的云服务
由于使用客户端加密的方式不能平移到Web的云应用程序中,本文提出了一种内置端对端组件CRYPTOMEMBANES,它可以在客户端加密的用户数据和不可信任的JavaScript之间提供隔离层。同时,作者提出使用现有方法实现CRYPTOMEMBRANES的可行性。
2023-04-10 10:56:08
487
原创 【论文总结】揭开非法移动赌博应用程序的神秘面纱
这是来自2021年WWW的一篇论文《Demystifying Illegal Mobile Gambling Apps》,作者有:Yuhao Gao, Haoyu Wang, Li Li, Xiapu Luo, Guoai Xu, Xuanzhe Liu。这篇论文主要讲的是对中国非法赌博应用进行的测量。
2023-01-09 13:54:09
1966
原创 【论文总结】隐藏在众目睽睽之下:探索 Android 应用程序中的加密通道
这是来自2022 CCS的一篇论文《Hidden in Plain Sight:Exploring Encrypted Channels in Android Apps》,作者有:Sajjad Pourali, Nayanamana Samarasinghe, Mohammad Mannan。
2023-01-09 11:53:19
633
原创 【论文总结】揭秘 Android 非 SDK API:测量和理解
这是来自2022年ICSE的一篇论文《Demystifying Android Non-SDK APIs: Measurement and Understanding》,作者有:Shishuai Yang, Rui Li, Jiongyi Chen, Wenrui Diao, and Shangqing Guo。
2023-01-09 11:41:50
410
原创 【论文总结】对IOS应用商店下架应用的纵向研究
这是来自WWW 2021的一篇论文《A Longitudinal Study of Removed Apps in iOS App Store》作者如下:Fuqi Lin, Haoyu Wang, Liu Wang, Xuanzhe Liu。
2022-12-19 15:31:16
202
原创 【论文总结】检测和测量Android 应用程序中Manifest配置错误
这是来自CCS 2022的一篇论文《Detecting and Measuring Misconfigured Manifests in Android Apps》,作者如下:Yuqing Yang, Mohamed Elsabagh, Chaoshun Zuo, Ryan Johnson, Angelos Stavrou, Zhiqiang Lin。
2022-12-19 15:12:38
716
1
原创 【论文总结】Android 恶意应用程序的大规模时间测量:持久性、迁移和经验教训
这是一篇来自2022USENIX的一篇论文《A Large-scale Temporal Measurement of Android Malicious Apps: Persistence, Migration, and Lessons Learned》
2022-11-19 12:47:30
1230
原创 【论文总结】对中国安卓应用市场大规模比较研究
这是一篇来自2018IMC的论文《Beyond Google Play: A Large-Scale Comparative Study of Chinese Android App Markets》
2022-11-18 20:49:48
1104
原创 【论文总结】了解Google Play商城中的激励性移动应用安装
这是来自2020IMC的一篇论文《Understanding Incentivized Mobile App Installs on Google Play Store》
2022-11-18 20:29:09
926
原创 python TypeError: Descriptors cannot not be created directly错误解决
TypeError: Descriptors cannot not be created directly解决方案
2022-10-18 11:32:12
723
2
原创 Androwarn安装与使用
Androwarn 是一种工具,其主要目的是检测并警告用户有关 Android 应用程序开发的潜在恶意行为。检测是通过使用库对应用程序的 Dalvik 字节码(表示为 Smali)进行静态分析来执行的。根据从用户选择的技术细节级别,该分析导致生成报告。
2022-10-12 14:15:51
947
1
原创 Amandroid安装与使用
Amandroid是一个用于数据流分析框架的Android应用程序安全审查的工具。是Android应用的静态分析框架。
2022-10-12 11:28:26
1179
1
原创 AndroBugs Framework安装与使用
AndroBugs Framework 是一个安卓漏洞分析系统,帮助开发者或黑客发现安卓应用中潜在的安全漏洞。没有华丽的 GUI 界面,但效率最高(平均每次扫描不到 2 分钟)且更准确。
2022-10-11 17:10:54
1882
2
原创 Windows QARK安装与使用
QARK(Quick Android Review Kit)静态代码分析工具QARK的设计是基于社区的,可供所有人免费使用。QARK被设计出来的主要目的和大多数的自动化检测工具一样是教育开发人员和信息安全人员了解与Android应用程序安全相关的潜在风险 ,相应的开发人员和评估人员就可以在开发和检测阶段,针对于APP移动应用进行检测,及时修改相应的风险点。
2022-10-11 14:08:30
2779
2
原创 论文总结——Android固件生态系统的大规模安全测量
这是一篇来自ICSE的论文《Large-scale Security Measurements on the Android Firmware Ecosystem》
2022-09-27 19:01:57
1029
1
原创 论文总结——Android上第三方库可更新性的实证研究
这是一篇来自CCS2017的文章《Keep me Updated: An Empirical Study of Third-Party Library Updatability on Android》
2022-09-14 09:52:19
1046
原创 论文总结——部署Android安全更新:涉及制造商、运营商和最终用户的广泛研究
这是一篇来自CCS2020的文章《Deploying Android Security Updates: an Extensive Study Involving Manufacturers, Carriers, and End Users》
2022-09-08 11:28:42
1974
原创 论文总结—app-in-app应用程序生态系统内资源管理风险
这是一篇来自CCS 2020的论文《Demystifying Resource Management Risks in Emerging Mobile App-in-App Ecosystems》。
2022-08-24 17:42:28
1568
1
原创 论文总结——DKIM邮件协议的部署和管理情况研究
这是一篇来自USENIX Security 2022的论文,题目是《A Large-scale and Longitudinal Measurement Study of DKIM Deployment》,该论文做的是关于DKIM邮件协议的部署和管理情况的研究。
2022-08-10 14:14:23
1486
原创 论文总结——真实世界移动应用中Web资源操纵的实证研究
这是一篇来自27th USENIX Security Symposium的论文《An Empirical Study of Web Resource Manipulation in Real-world Mobile Applications》,本博客是对这篇论文的学习笔记
2022-08-08 18:58:38
887
原创 ctf 攻防世界练习题writeup(第二部分)
ctf 攻防世界web2cookie新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入cookie由题可知本题考查cookie,那么什么是cookie?新的改变我们对Markdown编辑器进行了一些功能拓展与
2020-09-07 18:20:51
973
1
原创 ctf攻防世界练习题writeup(第一部分)
view source题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。用火狐浏览器打开对应网站发现无法找到对应的flag,此时可以按F12寻找相应的flag同时,根据题目的提示,也可以搜索view-source:http://相应的网站/进行访问,寻找flagget_post先用火狐打开相应的网站搜索根据提示用get方式提交名为a,值为1的变量,...
2019-09-01 21:53:18
1171
原创 Python海龟库和基本数据类型总结
第二周:关于turtle库的使用第三周:为基本数据类型turtle库的总结:一、turtle的绘图窗体turtle.setup(width,height,startx,starty)1.setup()设置窗体大小及位置;2.四个参数中后两个可选;3.setup()不是必须的二、turtle空间以及角度坐标体系turtle.goto()——————与数学中的平面直角坐标系类似,默认...
2019-06-11 19:41:13
753
1
原创 Python学习第一周:基本语法元素
Hello World的条件输出获得用户输入的一个整数,参考该整数值,打印输出"Hello World",要求:如果输入值是0,直接输出"Hello World"...
2019-06-04 20:10:19
338
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人