Lawrence’s List 080516

Lawrence Hoffman //
** advisory: 本博文中提到的技术和工具可能已过时，不适用于当前情况。但仍有可能通过学习本文，将其更新或整合到现代工具和技术中。**

随着BlackHat和DefCon正在进行，很难选择哪些内容会进入本周列表。我可能会将大部分重要的新内容留到下周，等我有机会回顾这两个会议的一些成果后再分享。在此之前，这里有一些本周我发现有趣的文章和一个项目。

作为软件工程师，始终牢记“执行此操作需要什么级别的身份验证”非常重要。未能做到这一点通常会导致一些相当严重的问题。正如我们在苹果与FBI之间的法庭案件中看到的，iPhone具有一些相当复杂的安全功能。不幸的是，它也有一些巧妙的易用性功能。这些功能本身通常很有帮助，并不是真正的安全威胁。然而，当它们结合在一起时，有时会导致真正的问题。Venmo就是一个例子，这是一个允许用户与其他Venmo用户发送和接收资金的应用程序。他们实现了一个通过短信进行通知和授权的功能，由于iPhone在锁屏界面上显示短信，并且Siri可以在手机锁定时发送短信……砰，资金可以被盗。

如何在不到2分钟内通过Venmo和Siri窃取$2,999.99

我喜欢下一篇文章，因为它有一个坚实的观点。许多开发人员会在他们的工作站上安装本地副本的工具来处理后端数据，以测试他们正在本地开发的代码。这些工具中的许多都带有内置或附加的Web界面，开发人员发现在开发过程中检查数据库状态非常方便，因此经常安装这些界面，但在浏览网页时可能导致潜在的漏洞。值得注意的是，这里描述的攻击依赖于HTTP 0.9和DNS重绑定，这两种攻击在Chrome中很难实现，如果浏览器是Chrome-nightly版本，则几乎不可能，因为对HTTP 0.9的支持已被移除，并且在最近的错误修复中，DNS重绑定变得非常困难（如果不是不可能的话）。

http://bouk.co/blog/hacking-developers/

继三月的Pwn2Own之后，Trend Micro的Zero Day Initiative研究团队发布了一份65页的PDF，详细介绍了比赛中的获胜条目。这篇论文描绘了浏览器技术仍然充满安全漏洞的画面。其中包含一些非常棒的漏洞，并详细讲解了这些漏洞的工作原理。

http://documents.trendmicro.com/assets/pdf/shell-on-earth.pdf

按照我近期的模式，我决定添加一个我正在研究的项目。本周是Felony。有很多人告诉我，他们不经常使用加密，因为它很困难。这里他们可能指的是GnuPG命令行界面，如果你对公钥加密的工作原理没有任何理解，它可能会有些陡峭。幸运的是，有一些人正在努力改善这种情况。Felony为GnuPG提供了一个很好的前端，它允许通过人们习惯的原生窗口系统使用该工具。这是一件好事。

https://github.com/henryboldi/felony

准备好学习更多了吗？
通过Antisyphon的实惠课程提升您的技能！
Pay-Forward-What-You-Can培训
提供实时/虚拟和点播选项