簡訊炸彈源碼
『壹』 會員登錄模塊有哪些bug
、注入點及萬能密碼登錄
2、登錄時,不安全的用戶提示:比如提示用戶名不存在或者密碼驗證碼錯誤
3、查看登錄頁面源代碼,看是否存在敏感信息泄露
4、不安全的驗證碼
5、在注冊賬號的時候,是否存在不安全的提示
6、不安全的密碼,在注冊賬號的時候密碼沒有限制復雜度
7、任意無限注冊賬號
8、在暴力破解的時候不會限制ip,鎖定用戶
9、一個賬號可以在多地登錄,沒有安全提示
10、賬戶登錄之後,沒有具備超時功能
11、OA,郵件,默認賬號等相關系統,在不是自己注冊的情況下,應該在登錄之後強制要求更改密碼
12、邏輯漏洞,任意更改密碼
13、越權漏洞,縱向、橫向越權
14、數據包含有風險信息泄露,比如COOKIE
15、不安全的數字傳輸,密碼為明文,未使用https證書
16、任意文件下載
登陸頁面滲透測試常見的幾種思路與總結
我們在進行滲透測試的時候,常常會遇到許多網站站點,而有的網站僅僅是基於一個登陸介面進行處理的。尤其是在內網環境的滲透測試中,客戶常常丟給你一個登陸網站頁面,沒有測試賬號,讓你自己進行滲透測試,一開始經驗不足的話,可能會無從下手。今天就來簡單說一下如何在只有一個登陸頁面的情況下,來進行滲透測試。
1、在條件允許的情況下,我們可以拿在滲透測試的開始之前拿出我們的掃描器來進行掃描,目前我們最常用的就是AWVS和Nessus,除此之外,我們還可以使用一些別的自動化測試工具,例如Nikto掃描器,Appscan,W3af,以及最近長亭科技的Xray掃描器,脊激坦都可以試試。尤其是Xray掃描器,據說有許多小夥伴靠它挖到了許多漏洞。
2、SQL注入
萬能密碼繞過
如果我們能夠直接繞過登錄,來直接訪問系統內部資源,那自然是最好不過的了。萬能密碼就是其中一最好用的一種,雖然存在的可能性不大,但是偶爾也是存在的,稍微嘗試一下也不會浪費太多時間。
例如admin'or 1=1 --
"or "a"="a
萬能密鉛腔碼在網上非常多,隨便搜一下就有
例如這樣,就能直接訪問後台
3、登錄口SQL注入
有的系統在登錄口就存在SQL注入,目前我遇到過比較多的是Oracle以及MySQL的登錄口注入,我們可以在登錄處先抓一個包,然後根據抓包信息來構造Payload。值得一提的是,有時候我們需要在Burp里修改一下發包格式(change body encoding),才能成功注入。
4、明文傳輸/用戶名可枚舉/爆破弱口令
明文傳輸
可能是我們做滲透測試中,最常見的一種漏洞,實際上它並不能算得上是一種漏洞,僅僅只能說是一種不足之處而已,明文傳輸在網站上隨處可見,除了銀行網站,很有可能每一個密碼都是經過特殊加密然後再進行傳輸的。
用戶名可枚舉
此漏洞存在主要是因為頁面對所輸入的賬號密碼進行的判斷所回顯的數據不一樣,我們可以通過這點來進行用戶名的枚舉,然後通過枚舉後的賬戶名來進行弱口令的爆破。防禦手段的話僅需要將用戶名與密碼出錯的回顯變成一樣即可,例如用櫻桐戶名或密碼出錯。
爆破弱口令
弱口令可以說是滲透測試中,最最常見,也是危害「最大」的一種漏洞,因為毫無技術性,毫無新意,但是卻充滿了「破壞性」,尤其是在內網環境中,弱口令更是無處不在。Web頁面最常用的爆破工具為Burp,我們通常使用Nmap掃描也可能掃出其他埠存在,例如3389,SSH等。
5、掃描
目錄掃描
JS掃描
JS文件我們在滲透測試中也是經常用到的東西,有時候我們可以在JS文件中找到我們平時看不到的東西,例如重置密碼的JS,發送簡訊的JS,都是有可能未授權可訪問的。
nmap掃描
Nmap的強大功能能讓我們第一時間獲取網站的埠信息,而這些埠信息中常常可以給予我們非常大的幫助,例如開放了3389埠,或者一些敏感埠的探測,Nmap的使用方法相比不需要我再多說,每個安全工程師都必須要精通的一種工具,以下是我的一些埠小總結,希望可以給與大家一點兒幫助。
注冊頁面
注冊頁面批量注冊
注冊覆蓋(重復注冊他人賬號)
簡訊郵件炸彈
手機驗證碼是否可爆破(老生常談,Burpsuite抓包爆破四位驗證碼)
圖片驗證碼是否可繞過(驗證碼缺失、驗證碼失效數據包重放、萬能驗證碼0000、驗證碼空繞過、驗證碼前端獲取(極少數情況))
登錄頁面
弱密碼、無驗證碼爆破、萬能密碼(後台登錄,用戶登錄次數限制)
手機驗證碼登錄是否可以進行簡訊炸彈
url跳轉漏洞(主要用來釣魚,對於繞過和利用網路搜索已有大量文章,不贅述)
登錄處是否可繞過(對於大多數沒有cookie的網站)
用戶名枚舉(觀察返回包提示或者返回包參數變化)
忘記密碼
手機驗證碼是否可爆破
修改密碼流程是否可跳過
任意用戶密碼重置
簡訊郵件炸彈
一個「登錄框「引發的安全問題_zhangge3663的博客-CSDN博客_登錄安全問題前言搞安全的小夥伴只有一個登錄框你都能測試哪些漏洞?通常大家測試的都會測試關鍵部分,為了有更好的測試效果,小廠會提供給你用戶名密碼;但是一些比較重要的企業,而這個環境卻是正式環境,裡面存放著一些數據不希望被你看到的時候,是不會提供給你登錄賬號的。這個時候,考研你基礎知識是否扎實的時刻來臨了。用戶名枚舉漏洞描述:存在於系統登錄頁面,利用登錄時輸入系統存在的用戶名錯誤密碼和不存在的用戶名錯誤密碼,返回不同的出錯信息可枚舉出系統中存在的賬號信息。測試方法:找到網站或者web系統登
https://blog.csdn.net/zhangge3663/article/details/117417064登陸頁面滲透測試常見的幾種思路與總結! - linuxsec - 博客園
https://www.cnblogs.com/linuxsec/articles/11519196.html
業務邏輯漏洞--注冊-登錄-改密碼頁面總結 - 求知魚 - 博客園
https://www.cnblogs.com/Qiuyu/p/12530698.html登錄界面-滲透測試 - 超人還可以飛 - 博客園由圖展開思路: 登陸頁面的滲透測試 首先 在進入登陸界面時,一般都是先用萬能密碼什麼的測下輸入框有沒有注入(現在很少見了)。如果沒有,那就先拿admin,123456什麼的測試下弱口令,不求
https://www.cnblogs.com/Risk2S/p/11447279.html
登錄頁面滲透測試思路總結_gudeajun的博客-CSDN博客_登錄頁面滲透測試登錄頁面可能產生哪些漏洞呢?1、注入點及萬能密碼登錄2、登錄時,不安全的用戶提示:比如提示用戶名不存在或者密碼驗證碼錯誤3、查看登錄頁面源代碼,看是否存在敏感信息泄露4、不安全的驗證碼5、在注冊賬號的時候,是否存在不安全的提示6、不安全的密碼,在注冊賬號的時候密碼沒有限制復雜度7、任意無限注冊賬號8、在暴力破解的時候不會限制ip,鎖定用戶9、一個賬號可以在多地登錄,沒有安全提示10、賬戶登錄之後,沒有具備超時功能11、OA,郵件,默認賬號等相關系統
『貳』 怎麼寫易語言無限發簡訊的軟體,求源碼
你好,沒有無限免費簡訊的哦,簡訊炸彈倒是有的,下載地址http://www.52reso.com/thread-28-1-1.html
僅供娛樂使用!滿意請採納!謝謝!
『叄』 用易語言怎麼編寫簡訊炸彈
必要首先要有一個可以利用的免費發簡訊的 網站。如果沒有,其他什麼都做不了!
『肆』 騰訊的點擊驗證碼是什麼原理
對於偽造網路請求的攻擊方面,還有很多技術細節,篇幅有限,如果感興趣可以看一下我的這篇博客,講的就是有關驗證碼方面的一些技術細節:
CSRF漏洞的原理
如果提到的哪個專業術語我沒有做通俗的解釋,請在下方回復。
如果覺得長,想要直入主題的話可以直接找到 ---重要內容分割線---,看那部分其實是這套驗證碼最核心的安全機制。
目前web前端的驗證碼主要分幾類:
1 看到圖形,肉眼識別後輸入字元;
2 根據界面圖形,進行滑鼠、手指(移動端)交互操作;
3 簡訊、電話、郵箱驗證。
其中第3條,很多時候往往會與第1條相結合起來,以防止CSRF漏洞造成的簡訊炸彈攻擊。
包括用戶無感知的人機檢驗方式(簡單地如前端token+referrer判斷,這個待會兒再講)在內,
以上所說的所有手段,終究目的是一個,那就是檢查當前訪問者究竟是一個「人」,還是一台「機器」。
這在計算機研究領域被稱為圖靈測試,圖靈是一位計算機科學家,他提出對於「人工智慧」的定義是:如果把一台電腦放在一個與外界隔絕的房間里,同時把一個人放在一個一模一樣的房間里,嫌模同時對人和電腦進行各種各樣的提問、測試,如果兩者做出的反應基本一致(總會有差異,哪怕人與人之間也會有不同),那麼認為這台電腦的演算法水平已經達到了「人工智慧」的級別。
說了這么多,想表達的還是一點,對於「讓機器模擬人的行為」或者說「把自己偽裝成一個人」,這樣的事情在專業領域是有很多研究的。現在網路上存在著諸多驗證碼、安全校驗等等東西,很多人不理解,認為這種東西增加了人們對於軟體的正常使用的成本。其實這些安全手段,都是為了防止黑客以各種各樣的技術手段,偽造網路請求,假冒真實用戶的身份去「刷」網站的各個介面。
下面回到主題,來談一談題主所提到的這個騰訊的驗證碼頁面的技術實現。
粗略地翻了一下這個頁面的源代碼(對於web領域,頁面程序的源代碼是完全裸奔的,這一點與客戶端程序不同,所以如果想要研究對方的代碼,對於web開發者來說是一件比較容易的友者凱事情好喚,換句話說web前端代碼里邊是沒有太多秘密可言的,因此web的安全性也相對差一些),這個頁面在我見過的一些驗證碼系統中是很常見的一種,就是前面提到的那第1種,看圖識別輸入字元的驗證碼形式。下面上代碼:
先來看看在UI層面,就是最常見的,通過javascript在DOM上綁定的監聽事件觸發回調,如圖所示,如果我把右邊紅圈中的click監聽remove掉,點擊按鈕之後就什麼反應都沒有了,所以基本確定它驗證碼的邏輯都卸載了這個CT_btn_trigger的回調函數中。然後看看點擊後彈出的layer:
全都是用DOM實現的,我在代碼中沒有發現任何flash object的痕跡(為什麼提flash,這個也放在後邊說),輸入驗證碼之後監聽網路數據包,找到了發送驗證碼的那個介面:
服務端的接受驗證碼的介面為https://ssl.captcha.qq.com/cap_union_verify_new 而我們剛剛輸入的一條驗證碼,query欄位名稱是ans。這里的這一條網路請求是https協議傳輸的,包括整個qq安全中心的頁面也都是上了https的,https協議與我們熟知的http協議最大的不同就是,通過加密手段規避掉了網路中間層對數據包的截獲,這一點對於這套驗證碼來說還是值得肯定的,目前的很多驗證碼系統對於傳輸驗證碼的網路請求都沒有上https。
昨晚看的倉促,剛剛又翻了一下發現了這一套驗證碼系統的核心部分,其實就是上面截圖中的collect欄位,感謝 @李默然 的提醒,這部分其實也就是我在前文中所提到的那個token,從collect這個欄位命名不難猜出這個token是一個前端拼裝起來的東西。具體如何拼裝,在這里我就不一一扒代碼了,考慮到畢竟是一個安全中心的頁面,把技術細節在這里講的太透了,普通用戶也不那麼關心,反倒是替別有用心的人省了點兒事。所以就不給騰訊的前端同學找麻煩了,在這里簡單述說說吧。
collect參數,在用戶點擊這個按鈕的那一刻,就會從服務端傳過來一個collect參數,這時的collect參數中做了一些組裝和軟加密處理,拿到的是密文,明文中的內容不難猜測一定包裹了驗證碼所需的那張圖片的url。
當輸入驗證碼完成後,從客戶端發往伺服器的那條請求中,雖然ans欄位中的驗證碼是明文,但是還依然帶了一個collect欄位,而這時的collect欄位和上一個collect欄位內容是不同的,顯然也是一個加密後的結果,推測可知這個collect欄位在服務端解密後拿到的明文中,至少也要包含用戶本地操作的一些數據,這數據中就包括,他輸入的那段驗證碼所對應的圖片究竟是哪張。也許存了圖片的url,也許是服務端記錄圖片的某一組key值,但這個對應關系是一定要有的。
以上提到的collect欄位,其實是整個這套驗證碼系統最為關鍵的一點,黑客如果要破譯這層csrf防禦,首先需要搞明白兩處collect欄位是如何加密的。如果放在其他系統客戶端的角度來說,破譯這層加密的難度不小,但是由於web客戶端的代碼是裸奔的,這個天然的劣勢導致,黑客不一定要以數學的方法去解出這套加密機制,而是可以直接翻看源代碼,看明白collect欄位是怎麼拼裝的,然後只要結合起圖片識別模塊就可以對這個介面進行強刷了。由於驗證碼本身是最簡單的圖片6位驗證碼,所以圖像處理方面識別難度不是很大。
總的來講,這一套驗證碼體系屬於中規中矩,可能因為並不涉及到金額安全問題,所以也並沒有十分重視。
如何優雅地屏蔽網路廣告推廣
下面簡單講講剛才翻源碼過程中遇到的幾個技術細節,值得了解一下:
1 這樣的驗證碼安全嗎?
很遺憾,我是個喜歡講實話的人。這樣的驗證碼,不是絕對安全的。
2 什麼是CSRF漏洞?
CSRF簡單地說就是偽造的網路請求,黑客以這種手段,用腳本寫出一些自動化程序,非正常地使用正常用戶在訪問網頁時調用的http介面,從而達到其他目的(盜號,刷介面,甚至將伺服器拖庫)。這也正是網頁加入驗證碼的根本原因,提高了黑客去做CSRF攻擊的成本,因為他的自動化腳本可以發送任何用戶相關的數據,但卻很難猜出每次都隨機出現的圖形驗證碼中的字元。
3 這樣的驗證碼存在哪些安全隱患?
簡單地圖形驗證碼現在已經不算是安全的了,因為以如今的圖像識別技術,黑客可以構造一套自動化腳本,首先獲取驗證碼的那張圖片,然後把圖片交由專門做圖像識別的程序模塊進行識別處理,返回一個識別結果,再把識別的結果像正常用戶填寫驗證碼一樣回填到http請求的參數中去。我們看到,他在http請求的參數中,是直接把驗證碼的字元放在里邊,而沒有對字元做任何md5、AES一類的處理,所以黑客可以很容易的知道這個參數是什麼,並構造上述的一個自動化滲透工具。來對伺服器進行攻擊。他的圖像識別演算法的能力不需要達到90% 80%這么高,哪怕有10%的精度,黑客可以把這樣的一套腳本攻擊程序分布式地放在各個機房的機器上,對伺服器造成一定的攻擊。對於你所看到的這個qq安全中心的頁面是否安全的問題,真的沒有是和否的區別,只有值得與否的區別。畢竟構造一套上述的自動化攻擊程序以目前的技術,成本還是很高的。但不是不可能。這也解釋了,為什麼春節搶票期間,12306出台了那麼一套變態的驗證碼,就是因為搶票的這個利益太大了,如果有人能夠破譯它的驗證碼系統,損失是鐵路部門無法接受的,所以寧可讓驗證碼把普通用戶難到罵娘,也絕對不能給黑客的自動化攻擊程序留下可乘之機。
4 為什麼我要提到flash?
flash作為軟體行業中被諸多安全漏洞纏身的一項技術,在web領域,某種意義上卻能算是銀彈了,至少我是這樣認為的。為什麼這么說?就像我剛才說的,軟體行業,客戶端代碼其實都是沒有什麼秘密可言的,你真的想把一些安全級別非常高的代碼邏輯保護起來,那隻有放到服務端里才可靠,這就是為什麼大家申請網銀卡的時候都會配給一塊U盾,因為軟體客戶端永遠是不安全的,或者說相對於這樣大額度交易的利益來講,在黑客們面前他不夠安全。所以要依靠U盾的硬體加密手段,把一些重要的加密邏輯焊死在晶元中進行固化保護。那麼話說回來,為什麼又要說flash在web領域是安全的呢?因為web太不安全了,作為一個客戶端來說,它的一切代碼都是裸奔的,任何打包、編譯都沒有,(有人可能要提到如今的webpack等打包工具,但那些東西實際意義並不在於打包而在於模塊化),通俗的解釋就是,任何一個懂前端js代碼的工程師,都可以很低的成本,讀懂其他網站前端代碼中做了一些什麼事情,這相比其他平台的客戶端開發來說是非常可怕的。
真是因此,很多web網站都會把一些不希望別人「輕易偷走」的數據,寫到一個flash客戶端中,然後再把flash編譯後打包的swf作為一個靜態資源載入到頁面中(因為現代瀏覽器都是支持flash的),讓flash和用戶交互。想要把flash反匯編出來,搞懂他里邊做了什麼,對於同樣從事flash的AS開發工作的工程師與從事web前端開發工作的工程師,這本身從實現成本上就比web前端的html和javascript代碼要高很多。
另外,如今的絕大多數web工程師,都不太熟悉flash代碼,所以把flash作為web系統某些安全隱患上面的銀彈,還是有一定道理的。這里我可以舉一個目前線上的例子,酷狗音樂就是通過flash播放器,解碼一種acc格式(特殊的音頻格式,普通瀏覽器和播放器無法直接播放)的音頻文件,來實現音樂歌曲的防盜版。因為你前端就算把他音頻文件的url拿到了,下載下來,你也不好直接播放。
對於這部分,就不再扯遠了。
『伍』 關於網路信息處理和信息安全應用的一篇論文
熱心相助
開題報告參考模板
XXXXXX學院
畢業論文開題報告
課題名稱 手機無線聯網安全技術及應用研究
學 院 電子信息學院
專 業 網路工程
班 級 BX0907
學 號 12
姓 名 XXX
指導教師 XXX
定稿日期: 2013 年 01 月 18 日
手機無線聯網安全技術及應用研究
摘要:從第一台計算機發明到現在短短的幾十年內,計算機和網路使得人們的生活發生著巨大的改變。電腦上網方式發生了很大的改變,人們不在局限於通過網線接入網路,出現了各種無線網路。但隨著手機技術的發展,人們開始使用手機來接入網路瀏覽網頁,聊天,下載各種需要的事物等等。
但是手機網路就如同計算機網路一樣不是一個很成熟的,其中有著各種漏洞,黑客可以通過相關的漏洞來進行對手機用戶的攻擊。很多人通過手機下載各種java程序,而java程序中可能包含著木馬病毒等等不利於手機用戶的東西。
本文重點進行手機上網安全,手機病毒的危害,黑客攻擊手機的方法手段,以及對應的預防措施等等
關鍵詞:手機上網,網路安全,手機病毒,防範措施。
1 文獻綜述
隨著手機技術的日趨成熟,接入互聯網輕松獲得大量的信息已成為未來手機發展的必然趨勢。而且隨著配備Java功能的i模式手機登場,手機接入互聯網更為便捷,勢必會因此增加手機感染病毒的機會。由於通過網路直接對WAP手機進行攻擊比對GSM手機進行攻擊更加簡便易行,WAP手機已經成為電腦黑客攻擊的重要對象。
黑客對手機進行攻擊,通常採用以下三種方式:一是攻擊WAP伺服器,使WAP手機無法接收正常信息;二是攻擊和控制「網關」,向手機發送垃圾信息(嚴格地說,以上兩種手機病毒還屬於電腦病毒,不會破壞手機本身);三是直接攻擊手機本身,使手機無法提供服務。新一代的WAP手機由於其功能的多元化,因此病毒帶來的災害也會更大。侵襲WAP手機的病毒可能會自動啟動電話錄音功能、自動撥打電話、刪除手機上的檔案內容,甚至會製造出金額龐大的電話賬單。
手機上網:WAP無線應用協議是一個開放式的標准協議,可以把網路上的信息傳送到行動電話貨其他無線通訊終端上。WAP是由多家通信業巨頭統一制定的,它使用一種類似於HTML的標記式語言WML,並可通過WAP Gateway直接訪問一般的網頁。通過WAP,用戶可以隨時隨地利用無線通訊終端來獲取互聯網上的即時信息或公司網站的資料,真正實現無線上網。CMWAP多用於WAP開頭的網站為主。CMNET可以瀏覽WWW網站。手機上網(WAP)是移動互聯網的一種體現形式。是傳統電腦上網的延伸和補充。通過WAP,用戶可以隨時隨地利用無線終端來獲取互聯網上的即時信息貨公司網站的資料,真正實現無線上網。
手機病毒:手機病毒是一種具有破壞性,傳染性的手機程序。可以通過發送彩信、簡訊,瀏覽網站,下載鈴聲,藍牙等方式傳播,會導致用戶手機關機、死機、向外發送垃圾郵件泄露個人信息、自動撥打電話、發簡訊彩信等進行惡意扣費,甚至會損毀晶元、SIM卡等硬體,導致手機用戶無法正常使用手機。史上最早的手機病毒於2000年被發現,在當時手機公司Movistar大量收到名為「Timofonica」的騷擾簡訊,該病毒由西班牙電信公司 「Telefonica」的移動系統向系統內的手機用戶發送垃圾簡訊。此病毒僅僅被稱作為簡訊炸彈。真正意義上的手機病毒直到2004年6月才出現,為一種名為「Cabir」蠕蟲病毒,通過諾基亞s60系列手機進行復制,然後不斷尋找安裝了藍牙的手機。在此之後手機病毒正式開始泛濫。據統計2012年二季度手機病毒數量達到23413個,接近2011年度全年數量。
2 選題背景及其意義
隨著手機技術的日趨成熟,以及手機的便於攜帶功能使得手機接入網路的頻率越來越高了,然而手機網路和計算機網路有很多的相似點,對於網路方面的法律不是很完善所以如何處理手機聯網安全變成了一個廣大手機用戶的一個重要的問題。
智能手機(smartphone)與一般手機相比,它具有一般手機的通訊功能,還帶有相應的操作系統(OS),可以通過下載安裝應用軟體來拓展手機的其他功能,如安裝瀏覽器來瀏覽網頁,收發郵件,查看股票、交通情況、天氣情況,看電影,通過相應的軟體來聽音樂,玩游戲等,這類具有獨立操作系統的手機被稱之為智能手機。智能手機具有以下幾個特點:1、具有接入無線互聯網的能力, 2、具有PDA(Personal Digital Assistant),包括PIM(個人信息管理) 日程記事,任務安排,多媒體應用,瀏覽網頁;3、具有開放性的操作系統,可以根據需求來安裝需要的應用程序,使手機的功能等到極、大地拓展;4、具有強大的功能,極強的拓展能力,大量的第三方軟體支持。
據統計至2012/06,中國手機上網用戶人數突破3億,手機上網用戶比例佔全部使用互聯網人數的10%。手機用戶多用於QQ聊天,微博,微信,查收電子郵件,手機游戲等等,通過以上所訴的方式可以使各種病毒在手機之間傳播,而現在隨著電腦和手機的高速發展,手機病毒發展的速度也日益加快。
由於3G的高速數據傳播使得3G漸漸地取代了以前的2G以及2.5G。據調查WCDMA是世界上運用最廣泛的,終端種類最多樣的一種3G標准,已有538個WCMDA運營商於世界上246個國家和地區開通了WCDMA網路,3G商用市場份額超過80%,而WCDMA向下兼容的GSM網路已覆蓋184個國家,遍布全球,WCDMA用戶已超過6億。因此研究手機聯網安全
隨著Symbian系統漸漸地退出智能手機的舞台,現在智能手機使用的主要操作系統分為Android系統以及IOS系統。Android是一種基於Linux的自由及開放源代碼的操作系統,主要適用於便攜設備。據2012年11月數據顯示Android系統在全球智能手機操作系統市場所佔的份額為76%,在中國市場佔有率為90%。IOS系統是由蘋果公司開發的操作系統,同樣適用於便攜設備。IOS是一種閉源系統,但IOS系統又不是傳統意義上的閉源系統,隨著Android系統地不斷進化,IOS系統想要保持客戶的情況,必須有所發展以適應相應的變化,因此IOS系統出現了一種新的閉源方式,系統代碼封閉,其他的可以與第三方軟體商分享利益;蘋果手上的代碼不會開放,但它們也會隨著時間地變化而出現變化。於2011年11月數據顯示,IOS占據全球智能手機系統市場份額的30%,在美國的市場佔有率為43%。隨著通信技術地進步,智能手機與第三方軟體的開發和普及等在一定的程度上促使了手機病毒的製造和傳播,據統計在Andriod平台上的病毒已經佔到所有手機病毒的84%,研究手機安全的主要在於Andriod平台。但是2012年12月13日全球知名信息安全專家、亞洲網路信息安全組織SyScan創始人Thomas Lim在360SyScan國際安全會議上透露:「隨著全球智能手機普及化的迅猛發展,蘋果的IOS系統已成為黑客們攻擊的新熱點。」目前黑客正在試圖通過程式組來攻擊IOS,以一連串的方式對系統中的多個漏洞進行攻擊。通過攻擊,黑客完全控制掌握用戶的IOS系統,錄像、錄音,通話等信息將會被攻擊者竊取。由於這種形式的攻擊復雜程度高,涉及底層系統的各個層面技術較為繁瑣,現在還沒有安全的預防方式。但是這是因為技術的復雜程度,所以目前對於IOS系統的攻擊還是相對較少。故而目前研究手機病毒的焦點在於開放的Andriod平台。現在無線互聯網領域的焦點是智能手機的信息安全,在移動安全領域出現的新威脅展現出了「作惡手法創新、危害加劇」的態勢。根據目前智能手機市場上的佔有量,Andriod系統的手機是信息安全、手機木馬的重災區,蘋果IOS系統和塞班系統緊隨其後。現在安全趨勢主要體現在三個方面:首先,黑客藉助魚惡意軟體來進行垃圾、欺詐簡訊的傳播;其次,流氓推廣木馬趨泛濫,危害方式愈發隱蔽;第三,感染的途徑方式在日益增多,二維碼、微博正成為智能手機用戶「中招」的新途徑。
許可權管理;一般指根據系統設置的安全規則或者安全策略,用戶可以訪問而且只能訪問自己被授權的資源,不多不少。在安裝應用程序的時候,手機用戶需要注意應用程序索要的許可權,有些病毒是在安裝的時候通過獲得更高地許可權來進行各種不法的行為。
手機「肉雞」如同電腦「肉雞」一樣也給手機用戶帶來極大的危害,許多手機在出廠前便被植入各種木馬病毒,然後在用戶使用手機的時候來進行各種操作,手機「肉雞」的危害遠大於電腦「肉雞」,手機病毒可以給植入者帶去相當可觀的收入來源,曾報道過服務供應商可以在一個月內收入數億的重款,因此導致相關的手機病毒木馬更加頻繁地出現在各種手機平台。
除此外在手機中的各種亂收費業務中,不少的是在於手機購買時的問題,由很多山寨的手機在出廠的時候內置各種系統,很多用戶在不知不覺中被強制性地扣掉了不少的費用。有的卻是在送去維修的時候被不甚感染了病毒木馬等。
3 研究內容
3.1手機聯網所受到的威脅
1)應用程序的漏洞 2)病毒 3)惡意或間諜軟體 4)網路監聽
5)手機出廠時內置的系統
3.2無線網路的完全
無線網路是利用無線電技術取代傳統網線進行連入互聯網。通過現在流行的手機無線聯網方式(WIFI,3G等)來進行無線網路安全分析和研究。
無線網路安全標准
A.WEP(Wired Equivalent Privacy)
B. WPA(WI-FI Protected Access)
C. WAPI(WLAN Authentication and Privacy Infrastructure)
3.3 網路安全的攻防方式
通過現有的各種手機上網的威脅進行研究,了解現階段的攻防方式
3.4網路邊界安全
網路邊界是內部網路和公共網路的分界線,網路邊界路由器是所有流量出入內部網路的關鍵設備。網路邊界安全是指在網路邊界上採用的安全措施和手段,他通常包括防火牆,VPN設備等部件。
3.5網路終端安全
終端的安全是網路安全的重要組成部分,只有首先保證終端上沒有病毒或木馬的存在,才能最大可能地保證網路中數據的安全。
4 工作特色及其難點,擬採取的解決措施
了解手機用戶使用手機時遇到的各種病毒有些困難。擬通過網路投票方式來查看一下有多少用戶遇到過類似惡意扣費,自動撥打電話等問題,以及問題的種類。通過網路投票來了解用戶使用的手機類型以及手機系統。
手機安全方面目前還沒有一個完整的體系,使得應對手機安全有著不小的難度。由於安卓的開放源代碼使得手機病毒可以迅速發展,當出現新的病毒時,不能夠及時的了解和預防。
通過查找文獻資料來研究手機病毒和黑客攻擊手機的各種方式,對此進行如何使用手機來進行防禦。
5 論文工作量及預期進度
2012/11/15-2013/01/ : 確定選題、資料准備、翻譯有關外文資料及閱讀技術文獻、撰寫開題報告。
2013/01/ -2013/02/30: 調研分析、具體研究及新技術應用
2013/03/01-2013/05/01: 撰寫畢業設計報告
2013/05/26-2013/06/05: 畢業設計答辯
6 預期成果及其可能的創新點
預計成果:通過研究黑客入侵手機的方式以及手機病毒的種類來了解和處理手機聯網安全問題。通過手機病毒與計算機病毒的對比,來了解和應用手機聯網安全技術,掌握有關手機聯網安全的一些實際應用。通過文獻資料來研究駭客攻擊手機的方式,手機病毒的傳播方式,手機許可權相對應的功能,以及手機病毒的預防措施等。
可能的創新點;通過現在主流的各種上網方式(wifi,3G等),不同手機操作系統來研究手機的安全問題。
參考文獻
[1] 賈鐵軍主編. 網路安全實用技術清華大學出版社.2011
[2] 賈鐵軍主編. 網路安全管理及實用技術. 機械工業出版社.2010
[3] 楊哲、 Zerone無線安全團隊.無線網路黑客攻防.中國鐵道出版社.2011
[4] 中國密碼學會.無線網路安全.電子工業出版社,2011
[5] 賈鐵軍.網路安全技術及應用(第2版).機械工業出版社,2014.
[6] 王繼剛.手機病毒大曝光.西安交通大學出版社,2009.
[7] 諸葛建偉.網路攻防技術與實踐. 清華大學出版社,2011
[8] 米歇爾(Mitchell T.M.). 大數據技術叢書:機器學習. 機械工業出版社,2008
[9] 王建鋒.計算機病毒分析與防治大全(第3版).電子工業出版社,2011
[10]金光,江先亮. 無線網路技術教程:原理、應用與模擬實驗.清華大學出版社,2011
[11]斯托林斯,無線通信與網路.清華大學出版社,2005
[12]雅各布森(Douglas Jacobson),網路安全基礎:網路攻防、協議與安全.電子工業出版社,2011
[13]海吉(Yusuf Bhaiji).網路安全技術與解決方案(修訂版).人民郵電出版社,2010
[14]麥克盧爾(Stuart McClure) , 斯卡姆布智(Joel Scambray), 庫爾茨(George Kurtz).黑客大曝光:網路安全機密與解決方案(第6版).清華大學出版社,2010
[15]石志國 , 薛為民, 尹浩. 計算機網路安全教程(第2版).清華大學出版社,2011
[16]楊哲.無線網路安全攻防實戰進階.電子工業出版社,2011
指導教師意見
隨著手機技術的日趨成熟,接入互聯網輕松獲得大量的信息已成為未來手機發展的必然趨勢。而且隨著配備Java功能的i模式手機登場,手機接入互聯網更為便捷,勢必會因此增加手機感染病毒的機會。由於通過網路直接對WAP手機進行攻擊比對GSM手機進行攻擊更加簡便易行,WAP手機已經成為電腦黑客攻擊的重要對象。
黑客對手機進行攻擊,通常採用以下三種方式:一是攻擊WAP伺服器,使WAP手機無法接收正常信息;二是攻擊和控制「網關」,向手機發送垃圾信息(嚴格地說,以上兩種手機病毒還屬於電腦病毒,不會破壞手機本身);三是直接攻擊手機本身,使手機無法提供服務。新一代的WAP手機由於其功能的多元化,因此病毒帶來的災害也會更大。侵襲WAP手機的病毒可能會自動啟動電話錄音功能、自動撥打電話、刪除手機上的檔案內容,甚至會製造出金額龐大的電話賬單。
該生能夠按要求針對論文所涉及課題目的和意義進行分析,文獻綜述敘述較完整,研究內容闡述較合理,對實現設計的技術路線有初步的了解,對後期論文工作的進度安排較適當。
在以後的工作中,要按開題的要求進行論文工作,每周應按時與指導老師針對論文撰寫及程序編寫、調試過程中遇到的問題進行交流和溝通。
因此,同意開題。
指導教師簽名:
2013年2月28日
評議小組意見
1、論文選題:□有理論意義;□有工程背景;□有實用價值;□意義不大。
2、論文的難度:□偏高;□適當;□偏低。
3、論文的工作量:□偏大;□適當;□偏小。
4、設計或研究方案的可行性:□好;□較好;□一般;□不可行。
5、學生對文獻資料及課題的了解程度:□好;□較好;□一般;□較差。
6、學生在論文選題報告中反映出的綜合能力和表達能力:
□好;□較好;□一般;□較差。
7、學生在論文選題報告中反映出的創新能力:
□好;□較好;□一般;□較差。
8、對論文選題報告的總體評價:□好;□較好;□一般;□較差
(在相應的方塊內作記號「√」)
二級學院所確定評議小組名單(3-5人)
組長: 、
組員: 、 、 、
單位蓋章 主管領導簽名:
年 月 日
評議結論
評議小組組長簽名:
評議小組組員簽名:
年 月 日