“给最好的TA.apk”攻陷各大高校,你中招了吗?

释放双眼,带上耳机,听听看~!

9月27日,一个名为“给最好的TA.apk” 流氓软件在网络上被疯狂转发,导致大量用户“沦陷”。

据媒体报道,有知乎与微博等社区网友发文称,浙大、同济、中科大、云大等多个大学的同学均有“中招”,此外还有不少人身体力行实践“科技向善”,将该App改造后发送废青论坛上继续传播。



图片来源:知乎


apk为安卓APP安装包后缀,一旦受害者安装并运行了这个软件,那么它就会将电源键功能强制更改为“增大音量”,然后开始不断的对系统截图。导致受害者无法正常控制手机,也无法关闭这个软件。

最要命的是它会一直以最大音量循环播放某些不可描述的声音,很多受害者在上课、开会、人群中“中招”,场面一度非常尴尬,声音关不掉,软件退不了。

除了强制重启以外没有任何办法(甚至有人使用了掰断手机、扔手机等操作)。



图片来源:知乎



其实这种性质恶劣的恶搞软件很多年前就已经出现过了,只不过这次影响的范围较大。


这次的事件让我想起
web安全中的另一种攻击方式——网页蠕虫病毒。


网页蠕虫病毒第一次进入大众视野是因为一个小男孩,他当时发现了某知名社交网站的一个CSRF漏洞,结合XSS让每个收到恶意代码的人都把自己的签名改为“到此一游”然后这段代码还会遍历你的所有好友,给他们都发一遍这段代码。


这种裂变式增长的病毒很快感染了近百万的用户——这种攻击方式一直到现在都存在巨大安全隐患。


除了网页蠕虫之外,还存在很多千奇百怪的漏洞,比如现在很多商城都存在类似于一元购买任意物品这类严重的逻辑漏洞,一旦被大规模传播,后果不堪设想。





Web安全到底是什么?





Web安全问题涉及到每一个网民,也关系到每一个从事Web安全研究的工程师。
很多安全意识不足的互联网公司会把一些敏感信息泄露到搜索引擎中。


比如说你在搜索引擎中搜索:”inurl:admin.php””intitle:后台管理”等关键字,可以得到非常多的后台登录页面,这些页面本身就可能存在逻辑上的漏洞。





近年来,由于技术发展和国家支持,信息安全行业正处于一个发展迅猛的时期。
Web安全岗位的薪资待遇和职业发展前景都十分可观。



其实Web安全入门并不算难,通常我们开始确定一个目标的时候,第一步是“信息搜集”,在这个阶段,通过搜索引擎、域名服务商、子域名等信息的搜集来尽可能多的获取到我们需要的可能存在漏洞的信息。


而这个阶段其实和普通网民上网的过程几乎没有什么差别,只是我们关注的重点不一样。因此,只要是熟悉互联网,稍微有点网络基本知识的都可以学习Web安全。


但是想要通过自学找到心仪工作的水平还是比较困难的,因为web安全知识非常繁杂。






需要对web开发语言足够熟悉;对web程序的各类组件、CMS特性要有所了解;对服务器操作系统使用足够熟练;对常见的几十种漏洞类型了然于胸;同时还要有很强的好奇心和一个稳定的心态,一个优秀的web安全研究人员还要足够细心。


因此有很多同学想要转行或者想从基础学web安全,而又苦于没有大牛带路,没有同学交流。那么我建议你去看看
网易云课堂的免费直播课程,可以与这些行业大牛进行交流学习,助你升职加薪,少走弯路!



QQ群号:
784566808




扫描上方海报 QQ 群二维码或者搜索群号
即可加入直播交流群~

本文源自微信公众号:渗透云笔记

人已赞赏
安全工具

[代码审计]DVWA代码审计档案

2019-10-16 17:18:18

安全工具

Docker学习笔记(2)

2019-10-16 17:18:33

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索