短信炸弹源码

‘壹’ 会员登录模块有哪些bug

、注入点及万能密码登录
2、登录时，不安全的用户提示：比如提示用户名不存在或者密码验证码错误

3、查看登录页面源代码，看是否存在敏感信息泄露

4、不安全的验证码

5、在注册账号的时候，是否存在不安全的提示

6、不安全的密码，在注册账号的时候密码没有限制复杂度

7、任意无限注册账号

8、在暴力破解的时候不会限制ip，锁定用户

9、一个账号可以在多地登录，没有安全提示

10、账户登录之后，没有具备超时功能

11、OA，邮件，默认账号等相关系统，在不是自己注册的情况下，应该在登录之后强制要求更改密码

12、逻辑漏洞，任意更改密码
13、越权漏洞，纵向、横向越权

14、数据包含有风险信息泄露，比如COOKIE

15、不安全的数字传输，密码为明文，未使用https证书

16、任意文件下载

登陆页面渗透测试常见的几种思路与总结
我们在进行渗透测试的时候，常常会遇到许多网站站点，而有的网站仅仅是基于一个登陆接口进行处理的。尤其是在内网环境的渗透测试中，客户常常丢给你一个登陆网站页面，没有测试账号，让你自己进行渗透测试，一开始经验不足的话，可能会无从下手。今天就来简单说一下如何在只有一个登陆页面的情况下，来进行渗透测试。

1、在条件允许的情况下，我们可以拿在渗透测试的开始之前拿出我们的扫描器来进行扫描，目前我们最常用的就是AWVS和Nessus，除此之外，我们还可以使用一些别的自动化测试工具，例如Nikto扫描器，Appscan，W3af，以及最近长亭科技的Xray扫描器，脊激坦都可以试试。尤其是Xray扫描器，据说有许多小伙伴靠它挖到了许多漏洞。

2、SQL注入

万能密码绕过
如果我们能够直接绕过登录，来直接访问系统内部资源，那自然是最好不过的了。万能密码就是其中一最好用的一种，虽然存在的可能性不大，但是偶尔也是存在的，稍微尝试一下也不会浪费太多时间。
例如admin'or 1=1 --
"or "a"="a
万能密铅腔码在网上非常多，随便搜一下就有
例如这样，就能直接访问后台

3、登录口SQL注入
有的系统在登录口就存在SQL注入，目前我遇到过比较多的是Oracle以及MySQL的登录口注入，我们可以在登录处先抓一个包，然后根据抓包信息来构造Payload。值得一提的是，有时候我们需要在Burp里修改一下发包格式（change body encoding），才能成功注入。

4、明文传输/用户名可枚举/爆破弱口令

明文传输
可能是我们做渗透测试中，最常见的一种漏洞，实际上它并不能算得上是一种漏洞，仅仅只能说是一种不足之处而已，明文传输在网站上随处可见，除了银行网站，很有可能每一个密码都是经过特殊加密然后再进行传输的。

用户名可枚举
此漏洞存在主要是因为页面对所输入的账号密码进行的判断所回显的数据不一样，我们可以通过这点来进行用户名的枚举，然后通过枚举后的账户名来进行弱口令的爆破。防御手段的话仅需要将用户名与密码出错的回显变成一样即可，例如用樱桐户名或密码出错。

爆破弱口令
弱口令可以说是渗透测试中，最最常见，也是危害“最大”的一种漏洞，因为毫无技术性，毫无新意，但是却充满了“破坏性”，尤其是在内网环境中，弱口令更是无处不在。Web页面最常用的爆破工具为Burp，我们通常使用Nmap扫描也可能扫出其他端口存在，例如3389，SSH等。

5、扫描

目录扫描

JS扫描
JS文件我们在渗透测试中也是经常用到的东西，有时候我们可以在JS文件中找到我们平时看不到的东西，例如重置密码的JS，发送短信的JS，都是有可能未授权可访问的。

nmap扫描
Nmap的强大功能能让我们第一时间获取网站的端口信息，而这些端口信息中常常可以给予我们非常大的帮助，例如开放了3389端口，或者一些敏感端口的探测，Nmap的使用方法相比不需要我再多说，每个安全工程师都必须要精通的一种工具，以下是我的一些端口小总结，希望可以给与大家一点儿帮助。

注册页面

注册页面批量注册
注册覆盖（重复注册他人账号）
短信邮件炸弹
手机验证码是否可爆破（老生常谈，Burpsuite抓包爆破四位验证码）
图片验证码是否可绕过（验证码缺失、验证码失效数据包重放、万能验证码0000、验证码空绕过、验证码前端获取(极少数情况)）
登录页面

弱密码、无验证码爆破、万能密码（后台登录，用户登录次数限制）
手机验证码登录是否可以进行短信炸弹
url跳转漏洞（主要用来钓鱼，对于绕过和利用网络搜索已有大量文章，不赘述）
登录处是否可绕过（对于大多数没有cookie的网站）
用户名枚举（观察返回包提示或者返回包参数变化）
忘记密码

手机验证码是否可爆破
修改密码流程是否可跳过
任意用户密码重置
短信邮件炸弹
一个“登录框“引发的安全问题_zhangge3663的博客-CSDN博客_登录安全问题前言搞安全的小伙伴只有一个登录框你都能测试哪些漏洞？通常大家测试的都会测试关键部分，为了有更好的测试效果，小厂会提供给你用户名密码；但是一些比较重要的企业，而这个环境却是正式环境，里面存放着一些数据不希望被你看到的时候，是不会提供给你登录账号的。这个时候，考研你基础知识是否扎实的时刻来临了。用户名枚举漏洞描述：存在于系统登录页面，利用登录时输入系统存在的用户名错误密码和不存在的用户名错误密码，返回不同的出错信息可枚举出系统中存在的账号信息。测试方法:找到网站或者web系统登
https://blog.csdn.net/zhangge3663/article/details/117417064登陆页面渗透测试常见的几种思路与总结！ - linuxsec - 博客园
https://www.cnblogs.com/linuxsec/articles/11519196.html
业务逻辑漏洞--注册-登录-改密码页面总结 - 求知鱼 - 博客园
https://www.cnblogs.com/Qiuyu/p/12530698.html登录界面-渗透测试 - 超人还可以飞 - 博客园由图展开思路： 登陆页面的渗透测试 首先 在进入登陆界面时，一般都是先用万能密码什么的测下输入框有没有注入（现在很少见了）。如果没有，那就先拿admin，123456什么的测试下弱口令，不求
https://www.cnblogs.com/Risk2S/p/11447279.html
登录页面渗透测试思路总结_gudeajun的博客-CSDN博客_登录页面渗透测试登录页面可能产生哪些漏洞呢？1、注入点及万能密码登录2、登录时，不安全的用户提示：比如提示用户名不存在或者密码验证码错误3、查看登录页面源代码，看是否存在敏感信息泄露4、不安全的验证码5、在注册账号的时候，是否存在不安全的提示6、不安全的密码，在注册账号的时候密码没有限制复杂度7、任意无限注册账号8、在暴力破解的时候不会限制ip，锁定用户9、一个账号可以在多地登录，没有安全提示10、账户登录之后，没有具备超时功能11、OA，邮件，默认账号等相关系统

‘贰’ 怎么写易语言无限发短信的软件，求源码

你好，没有无限免费短信的哦，短信炸弹倒是有的，下载地址http://www.52reso.com/thread-28-1-1.html
仅供娱乐使用！满意请采纳！谢谢！

‘叁’ 用易语言怎么编写短信炸弹

必要首先要有一个可以利用的免费发短信的 网站。如果没有，其他什么都做不了！

‘肆’ 腾讯的点击验证码是什么原理

对于伪造网络请求的攻击方面，还有很多技术细节，篇幅有限，如果感兴趣可以看一下我的这篇博客，讲的就是有关验证码方面的一些技术细节：
CSRF漏洞的原理
如果提到的哪个专业术语我没有做通俗的解释，请在下方回复。
如果觉得长，想要直入主题的话可以直接找到 ---重要内容分割线---，看那部分其实是这套验证码最核心的安全机制。
目前web前端的验证码主要分几类：
1 看到图形，肉眼识别后输入字符；
2 根据界面图形，进行鼠标、手指（移动端）交互操作；
3 短信、电话、邮箱验证。
其中第3条，很多时候往往会与第1条相结合起来，以防止CSRF漏洞造成的短信炸弹攻击。
包括用户无感知的人机检验方式（简单地如前端token+referrer判断，这个待会儿再讲）在内，
以上所说的所有手段，终究目的是一个，那就是检查当前访问者究竟是一个“人”，还是一台“机器”。
这在计算机研究领域被称为图灵测试，图灵是一位计算机科学家，他提出对于“人工智能”的定义是：如果把一台电脑放在一个与外界隔绝的房间里，同时把一个人放在一个一模一样的房间里，嫌模同时对人和电脑进行各种各样的提问、测试，如果两者做出的反应基本一致（总会有差异，哪怕人与人之间也会有不同），那么认为这台电脑的算法水平已经达到了“人工智能”的级别。
说了这么多，想表达的还是一点，对于“让机器模拟人的行为”或者说“把自己伪装成一个人”，这样的事情在专业领域是有很多研究的。现在网络上存在着诸多验证码、安全校验等等东西，很多人不理解，认为这种东西增加了人们对于软件的正常使用的成本。其实这些安全手段，都是为了防止黑客以各种各样的技术手段，伪造网络请求，假冒真实用户的身份去“刷”网站的各个接口。

下面回到主题，来谈一谈题主所提到的这个腾讯的验证码页面的技术实现。
粗略地翻了一下这个页面的源代码（对于web领域，页面程序的源代码是完全裸奔的，这一点与客户端程序不同，所以如果想要研究对方的代码，对于web开发者来说是一件比较容易的友者凯事情好唤，换句话说web前端代码里边是没有太多秘密可言的，因此web的安全性也相对差一些），这个页面在我见过的一些验证码系统中是很常见的一种，就是前面提到的那第1种，看图识别输入字符的验证码形式。下面上代码：
先来看看在UI层面，就是最常见的，通过javascript在DOM上绑定的监听事件触发回调，如图所示，如果我把右边红圈中的click监听remove掉，点击按钮之后就什么反应都没有了，所以基本确定它验证码的逻辑都卸载了这个CT_btn_trigger的回调函数中。然后看看点击后弹出的layer：
全都是用DOM实现的，我在代码中没有发现任何flash object的痕迹（为什么提flash，这个也放在后边说），输入验证码之后监听网络数据包，找到了发送验证码的那个接口：
服务端的接受验证码的接口为https://ssl.captcha.qq.com/cap_union_verify_new 而我们刚刚输入的一条验证码，query字段名称是ans。这里的这一条网络请求是https协议传输的，包括整个qq安全中心的页面也都是上了https的，https协议与我们熟知的http协议最大的不同就是，通过加密手段规避掉了网络中间层对数据包的截获，这一点对于这套验证码来说还是值得肯定的，目前的很多验证码系统对于传输验证码的网络请求都没有上https。

昨晚看的仓促，刚刚又翻了一下发现了这一套验证码系统的核心部分，其实就是上面截图中的collect字段，感谢 @李默然 的提醒，这部分其实也就是我在前文中所提到的那个token，从collect这个字段命名不难猜出这个token是一个前端拼装起来的东西。具体如何拼装，在这里我就不一一扒代码了，考虑到毕竟是一个安全中心的页面，把技术细节在这里讲的太透了，普通用户也不那么关心，反倒是替别有用心的人省了点儿事。所以就不给腾讯的前端同学找麻烦了，在这里简单述说说吧。
collect参数，在用户点击这个按钮的那一刻，就会从服务端传过来一个collect参数，这时的collect参数中做了一些组装和软加密处理，拿到的是密文，明文中的内容不难猜测一定包裹了验证码所需的那张图片的url。
当输入验证码完成后，从客户端发往服务器的那条请求中，虽然ans字段中的验证码是明文，但是还依然带了一个collect字段，而这时的collect字段和上一个collect字段内容是不同的，显然也是一个加密后的结果，推测可知这个collect字段在服务端解密后拿到的明文中，至少也要包含用户本地操作的一些数据，这数据中就包括，他输入的那段验证码所对应的图片究竟是哪张。也许存了图片的url，也许是服务端记录图片的某一组key值，但这个对应关系是一定要有的。
以上提到的collect字段，其实是整个这套验证码系统最为关键的一点，黑客如果要破译这层csrf防御，首先需要搞明白两处collect字段是如何加密的。如果放在其他系统客户端的角度来说，破译这层加密的难度不小，但是由于web客户端的代码是裸奔的，这个天然的劣势导致，黑客不一定要以数学的方法去解出这套加密机制，而是可以直接翻看源代码，看明白collect字段是怎么拼装的，然后只要结合起图片识别模块就可以对这个接口进行强刷了。由于验证码本身是最简单的图片6位验证码，所以图像处理方面识别难度不是很大。
总的来讲，这一套验证码体系属于中规中矩，可能因为并不涉及到金额安全问题，所以也并没有十分重视。
如何优雅地屏蔽网络广告推广
下面简单讲讲刚才翻源码过程中遇到的几个技术细节，值得了解一下：
1 这样的验证码安全吗？
很遗憾，我是个喜欢讲实话的人。这样的验证码，不是绝对安全的。
2 什么是CSRF漏洞？
CSRF简单地说就是伪造的网络请求，黑客以这种手段，用脚本写出一些自动化程序，非正常地使用正常用户在访问网页时调用的http接口，从而达到其他目的（盗号，刷接口，甚至将服务器拖库）。这也正是网页加入验证码的根本原因，提高了黑客去做CSRF攻击的成本，因为他的自动化脚本可以发送任何用户相关的数据，但却很难猜出每次都随机出现的图形验证码中的字符。
3 这样的验证码存在哪些安全隐患？
简单地图形验证码现在已经不算是安全的了，因为以如今的图像识别技术，黑客可以构造一套自动化脚本，首先获取验证码的那张图片，然后把图片交由专门做图像识别的程序模块进行识别处理，返回一个识别结果，再把识别的结果像正常用户填写验证码一样回填到http请求的参数中去。我们看到，他在http请求的参数中，是直接把验证码的字符放在里边，而没有对字符做任何md5、AES一类的处理，所以黑客可以很容易的知道这个参数是什么，并构造上述的一个自动化渗透工具。来对服务器进行攻击。他的图像识别算法的能力不需要达到90% 80%这么高，哪怕有10%的精度，黑客可以把这样的一套脚本攻击程序分布式地放在各个机房的机器上，对服务器造成一定的攻击。对于你所看到的这个qq安全中心的页面是否安全的问题，真的没有是和否的区别，只有值得与否的区别。毕竟构造一套上述的自动化攻击程序以目前的技术，成本还是很高的。但不是不可能。这也解释了，为什么春节抢票期间，12306出台了那么一套变态的验证码，就是因为抢票的这个利益太大了，如果有人能够破译它的验证码系统，损失是铁路部门无法接受的，所以宁可让验证码把普通用户难到骂娘，也绝对不能给黑客的自动化攻击程序留下可乘之机。
4 为什么我要提到flash？
flash作为软件行业中被诸多安全漏洞缠身的一项技术，在web领域，某种意义上却能算是银弹了，至少我是这样认为的。为什么这么说？就像我刚才说的，软件行业，客户端代码其实都是没有什么秘密可言的，你真的想把一些安全级别非常高的代码逻辑保护起来，那只有放到服务端里才可靠，这就是为什么大家申请网银卡的时候都会配给一块U盾，因为软件客户端永远是不安全的，或者说相对于这样大额度交易的利益来讲，在黑客们面前他不够安全。所以要依靠U盾的硬件加密手段，把一些重要的加密逻辑焊死在芯片中进行固化保护。那么话说回来，为什么又要说flash在web领域是安全的呢？因为web太不安全了，作为一个客户端来说，它的一切代码都是裸奔的，任何打包、编译都没有，（有人可能要提到如今的webpack等打包工具，但那些东西实际意义并不在于打包而在于模块化），通俗的解释就是，任何一个懂前端js代码的工程师，都可以很低的成本，读懂其他网站前端代码中做了一些什么事情，这相比其他平台的客户端开发来说是非常可怕的。
真是因此，很多web网站都会把一些不希望别人“轻易偷走”的数据，写到一个flash客户端中，然后再把flash编译后打包的swf作为一个静态资源加载到页面中（因为现代浏览器都是支持flash的），让flash和用户交互。想要把flash反汇编出来，搞懂他里边做了什么，对于同样从事flash的AS开发工作的工程师与从事web前端开发工作的工程师，这本身从实现成本上就比web前端的html和javascript代码要高很多。
另外，如今的绝大多数web工程师，都不太熟悉flash代码，所以把flash作为web系统某些安全隐患上面的银弹，还是有一定道理的。这里我可以举一个目前线上的例子，酷狗音乐就是通过flash播放器，解码一种acc格式（特殊的音频格式，普通浏览器和播放器无法直接播放）的音频文件，来实现音乐歌曲的防盗版。因为你前端就算把他音频文件的url拿到了，下载下来，你也不好直接播放。
对于这部分,就不再扯远了。

‘伍’ 关于网络信息处理和信息安全应用的一篇论文

热心相助
开题报告参考模板

XXXXXX学院

毕业论文开题报告

课题名称 手机无线联网安全技术及应用研究
学 院 电子信息学院
专 业 网络工程
班 级 BX0907
学 号 12
姓 名 XXX
指导教师 XXX

定稿日期： 2013 年 01 月 18 日

手机无线联网安全技术及应用研究
摘要：从第一台计算机发明到现在短短的几十年内，计算机和网络使得人们的生活发生着巨大的改变。电脑上网方式发生了很大的改变，人们不在局限于通过网线接入网络，出现了各种无线网络。但随着手机技术的发展，人们开始使用手机来接入网络浏览网页，聊天，下载各种需要的事物等等。
但是手机网络就如同计算机网络一样不是一个很成熟的，其中有着各种漏洞，黑客可以通过相关的漏洞来进行对手机用户的攻击。很多人通过手机下载各种java程序，而java程序中可能包含着木马病毒等等不利于手机用户的东西。
本文重点进行手机上网安全，手机病毒的危害，黑客攻击手机的方法手段，以及对应的预防措施等等
关键词：手机上网，网络安全，手机病毒，防范措施。
1 文献综述
随着手机技术的日趋成熟，接入互联网轻松获得大量的信息已成为未来手机发展的必然趋势。而且随着配备Java功能的i模式手机登场，手机接入互联网更为便捷，势必会因此增加手机感染病毒的机会。由于通过网络直接对WAP手机进行攻击比对GSM手机进行攻击更加简便易行，WAP手机已经成为电脑黑客攻击的重要对象。
黑客对手机进行攻击，通常采用以下三种方式：一是攻击WAP服务器，使WAP手机无法接收正常信息;二是攻击和控制“网关”，向手机发送垃圾信息(严格地说，以上两种手机病毒还属于电脑病毒，不会破坏手机本身);三是直接攻击手机本身，使手机无法提供服务。新一代的WAP手机由于其功能的多元化，因此病毒带来的灾害也会更大。侵袭WAP手机的病毒可能会自动启动电话录音功能、自动拨打电话、删除手机上的档案内容，甚至会制造出金额庞大的电话账单。
手机上网：WAP无线应用协议是一个开放式的标准协议，可以把网络上的信息传送到移动电话货其他无线通讯终端上。WAP是由多家通信业巨头统一制定的，它使用一种类似于HTML的标记式语言WML，并可通过WAP Gateway直接访问一般的网页。通过WAP,用户可以随时随地利用无线通讯终端来获取互联网上的即时信息或公司网站的资料，真正实现无线上网。CMWAP多用于WAP开头的网站为主。CMNET可以浏览WWW网站。手机上网（WAP）是移动互联网的一种体现形式。是传统电脑上网的延伸和补充。通过WAP，用户可以随时随地利用无线终端来获取互联网上的即时信息货公司网站的资料，真正实现无线上网。
手机病毒：手机病毒是一种具有破坏性，传染性的手机程序。可以通过发送彩信、短信，浏览网站，下载铃声，蓝牙等方式传播，会导致用户手机关机、死机、向外发送垃圾邮件泄露个人信息、自动拨打电话、发短信彩信等进行恶意扣费，甚至会损毁芯片、SIM卡等硬件，导致手机用户无法正常使用手机。史上最早的手机病毒于2000年被发现，在当时手机公司Movistar大量收到名为“Timofonica”的骚扰短信，该病毒由西班牙电信公司 “Telefonica”的移动系统向系统内的手机用户发送垃圾短信。此病毒仅仅被称作为短信炸弹。真正意义上的手机病毒直到2004年6月才出现，为一种名为“Cabir”蠕虫病毒，通过诺基亚s60系列手机进行复制，然后不断寻找安装了蓝牙的手机。在此之后手机病毒正式开始泛滥。据统计2012年二季度手机病毒数量达到23413个，接近2011年度全年数量。

2 选题背景及其意义
随着手机技术的日趋成熟，以及手机的便于携带功能使得手机接入网络的频率越来越高了，然而手机网络和计算机网络有很多的相似点，对于网络方面的法律不是很完善所以如何处理手机联网安全变成了一个广大手机用户的一个重要的问题。
智能手机（smartphone）与一般手机相比，它具有一般手机的通讯功能，还带有相应的操作系统（OS），可以通过下载安装应用软件来拓展手机的其他功能，如安装浏览器来浏览网页，收发邮件，查看股票、交通情况、天气情况，看电影，通过相应的软件来听音乐，玩游戏等，这类具有独立操作系统的手机被称之为智能手机。智能手机具有以下几个特点：1、具有接入无线互联网的能力, 2、具有PDA(Personal Digital Assistant),包括PIM(个人信息管理) 日程记事，任务安排，多媒体应用，浏览网页；3、具有开放性的操作系统，可以根据需求来安装需要的应用程序，使手机的功能等到极、大地拓展；4、具有强大的功能，极强的拓展能力，大量的第三方软件支持。
据统计至2012/06，中国手机上网用户人数突破3亿，手机上网用户比例占全部使用互联网人数的10%。手机用户多用于QQ聊天，微博，微信，查收电子邮件，手机游戏等等，通过以上所诉的方式可以使各种病毒在手机之间传播，而现在随着电脑和手机的高速发展，手机病毒发展的速度也日益加快。
由于3G的高速数据传播使得3G渐渐地取代了以前的2G以及2.5G。据调查WCDMA是世界上运用最广泛的，终端种类最多样的一种3G标准，已有538个WCMDA运营商于世界上246个国家和地区开通了WCDMA网络，3G商用市场份额超过80%，而WCDMA向下兼容的GSM网络已覆盖184个国家，遍布全球，WCDMA用户已超过6亿。因此研究手机联网安全
随着Symbian系统渐渐地退出智能手机的舞台，现在智能手机使用的主要操作系统分为Android系统以及IOS系统。Android是一种基于Linux的自由及开放源代码的操作系统，主要适用于便携设备。据2012年11月数据显示Android系统在全球智能手机操作系统市场所占的份额为76%，在中国市场占有率为90%。IOS系统是由苹果公司开发的操作系统，同样适用于便携设备。IOS是一种闭源系统，但IOS系统又不是传统意义上的闭源系统，随着Android系统地不断进化，IOS系统想要保持客户的情况，必须有所发展以适应相应的变化，因此IOS系统出现了一种新的闭源方式，系统代码封闭，其他的可以与第三方软件商分享利益；苹果手上的代码不会开放，但它们也会随着时间地变化而出现变化。于2011年11月数据显示，IOS占据全球智能手机系统市场份额的30%，在美国的市场占有率为43%。随着通信技术地进步，智能手机与第三方软件的开发和普及等在一定的程度上促使了手机病毒的制造和传播，据统计在Andriod平台上的病毒已经占到所有手机病毒的84%，研究手机安全的主要在于Andriod平台。但是2012年12月13日全球知名信息安全专家、亚洲网络信息安全组织SyScan创始人Thomas Lim在360SyScan国际安全会议上透露：“随着全球智能手机普及化的迅猛发展，苹果的IOS系统已成为黑客们攻击的新热点。”目前黑客正在试图通过程式组来攻击IOS，以一连串的方式对系统中的多个漏洞进行攻击。通过攻击，黑客完全控制掌握用户的IOS系统，录像、录音，通话等信息将会被攻击者窃取。由于这种形式的攻击复杂程度高，涉及底层系统的各个层面技术较为繁琐，现在还没有安全的预防方式。但是这是因为技术的复杂程度，所以目前对于IOS系统的攻击还是相对较少。故而目前研究手机病毒的焦点在于开放的Andriod平台。现在无线互联网领域的焦点是智能手机的信息安全，在移动安全领域出现的新威胁展现出了“作恶手法创新、危害加剧”的态势。根据目前智能手机市场上的占有量，Andriod系统的手机是信息安全、手机木马的重灾区，苹果IOS系统和塞班系统紧随其后。现在安全趋势主要体现在三个方面：首先，黑客借助鱼恶意软件来进行垃圾、欺诈短信的传播；其次，流氓推广木马趋泛滥，危害方式愈发隐蔽；第三，感染的途径方式在日益增多，二维码、微博正成为智能手机用户“中招”的新途径。
权限管理；一般指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资源，不多不少。在安装应用程序的时候，手机用户需要注意应用程序索要的权限，有些病毒是在安装的时候通过获得更高地权限来进行各种不法的行为。
手机“肉鸡”如同电脑“肉鸡”一样也给手机用户带来极大的危害，许多手机在出厂前便被植入各种木马病毒，然后在用户使用手机的时候来进行各种操作，手机“肉鸡”的危害远大于电脑“肉鸡”，手机病毒可以给植入者带去相当可观的收入来源，曾报道过服务供应商可以在一个月内收入数亿的重款，因此导致相关的手机病毒木马更加频繁地出现在各种手机平台。
除此外在手机中的各种乱收费业务中，不少的是在于手机购买时的问题，由很多山寨的手机在出厂的时候内置各种系统，很多用户在不知不觉中被强制性地扣掉了不少的费用。有的却是在送去维修的时候被不甚感染了病毒木马等。

3 研究内容
3.1手机联网所受到的威胁
1）应用程序的漏洞 2）病毒 3）恶意或间谍软件 4）网络监听
5）手机出厂时内置的系统
3.2无线网络的完全
无线网络是利用无线电技术取代传统网线进行连入互联网。通过现在流行的手机无线联网方式（WIFI，3G等）来进行无线网络安全分析和研究。
无线网络安全标准
A.WEP(Wired Equivalent Privacy)
B. WPA(WI-FI Protected Access)
C. WAPI(WLAN Authentication and Privacy Infrastructure)
3.3 网络安全的攻防方式
通过现有的各种手机上网的威胁进行研究，了解现阶段的攻防方式
3.4网络边界安全
网络边界是内部网络和公共网络的分界线，网络边界路由器是所有流量出入内部网络的关键设备。网络边界安全是指在网络边界上采用的安全措施和手段，他通常包括防火墙，VPN设备等部件。
3.5网络终端安全
终端的安全是网络安全的重要组成部分，只有首先保证终端上没有病毒或木马的存在，才能最大可能地保证网络中数据的安全。

4 工作特色及其难点，拟采取的解决措施
了解手机用户使用手机时遇到的各种病毒有些困难。拟通过网络投票方式来查看一下有多少用户遇到过类似恶意扣费，自动拨打电话等问题，以及问题的种类。通过网络投票来了解用户使用的手机类型以及手机系统。
手机安全方面目前还没有一个完整的体系，使得应对手机安全有着不小的难度。由于安卓的开放源代码使得手机病毒可以迅速发展，当出现新的病毒时，不能够及时的了解和预防。
通过查找文献资料来研究手机病毒和黑客攻击手机的各种方式，对此进行如何使用手机来进行防御。

5 论文工作量及预期进度
2012/11/15-2013/01/ ： 确定选题、资料准备、翻译有关外文资料及阅读技术文献、撰写开题报告。
2013/01/ -2013/02/30： 调研分析、具体研究及新技术应用
2013/03/01-2013/05/01： 撰写毕业设计报告
2013/05/26-2013/06/05： 毕业设计答辩
6 预期成果及其可能的创新点
预计成果：通过研究黑客入侵手机的方式以及手机病毒的种类来了解和处理手机联网安全问题。通过手机病毒与计算机病毒的对比，来了解和应用手机联网安全技术，掌握有关手机联网安全的一些实际应用。通过文献资料来研究骇客攻击手机的方式，手机病毒的传播方式，手机权限相对应的功能，以及手机病毒的预防措施等。
可能的创新点；通过现在主流的各种上网方式（wifi,3G等），不同手机操作系统来研究手机的安全问题。

参考文献
[1] 贾铁军主编. 网络安全实用技术清华大学出版社.2011
[2] 贾铁军主编. 网络安全管理及实用技术. 机械工业出版社.2010
[3] 杨哲、 Zerone无线安全团队．无线网络黑客攻防．中国铁道出版社．2011
[4] 中国密码学会．无线网络安全．电子工业出版社，2011
[5] 贾铁军．网络安全技术及应用（第2版）．机械工业出版社，2014．
[6] 王继刚．手机病毒大曝光．西安交通大学出版社，2009．
[7] 诸葛建伟.网络攻防技术与实践. 清华大学出版社，2011
[8] 米歇尔(Mitchell T.M.). 大数据技术丛书：机器学习. 机械工业出版社，2008
[9] 王建锋.计算机病毒分析与防治大全(第3版).电子工业出版社，2011
[10]金光，江先亮. 无线网络技术教程:原理、应用与仿真实验.清华大学出版社，2011
[11]斯托林斯，无线通信与网络.清华大学出版社，2005
[12]雅各布森(Douglas Jacobson),网络安全基础:网络攻防、协议与安全.电子工业出版社，2011
[13]海吉(Yusuf Bhaiji).网络安全技术与解决方案(修订版).人民邮电出版社，2010
[14]麦克卢尔(Stuart McClure) , 斯卡姆布智(Joel Scambray), 库尔茨(George Kurtz).黑客大曝光:网络安全机密与解决方案(第6版).清华大学出版社,2010
[15]石志国 , 薛为民, 尹浩. 计算机网络安全教程(第2版).清华大学出版社，2011
[16]杨哲.无线网络安全攻防实战进阶.电子工业出版社，2011

指导教师意见

随着手机技术的日趋成熟，接入互联网轻松获得大量的信息已成为未来手机发展的必然趋势。而且随着配备Java功能的i模式手机登场，手机接入互联网更为便捷，势必会因此增加手机感染病毒的机会。由于通过网络直接对WAP手机进行攻击比对GSM手机进行攻击更加简便易行，WAP手机已经成为电脑黑客攻击的重要对象。

黑客对手机进行攻击，通常采用以下三种方式：一是攻击WAP服务器，使WAP手机无法接收正常信息;二是攻击和控制“网关”，向手机发送垃圾信息(严格地说，以上两种手机病毒还属于电脑病毒，不会破坏手机本身);三是直接攻击手机本身，使手机无法提供服务。新一代的WAP手机由于其功能的多元化，因此病毒带来的灾害也会更大。侵袭WAP手机的病毒可能会自动启动电话录音功能、自动拨打电话、删除手机上的档案内容，甚至会制造出金额庞大的电话账单。

该生能够按要求针对论文所涉及课题目的和意义进行分析，文献综述叙述较完整，研究内容阐述较合理，对实现设计的技术路线有初步的了解，对后期论文工作的进度安排较适当。

在以后的工作中，要按开题的要求进行论文工作，每周应按时与指导老师针对论文撰写及程序编写、调试过程中遇到的问题进行交流和沟通。

因此，同意开题。

指导教师签名：
2013年2月28日

评议小组意见

1、论文选题：□有理论意义；□有工程背景；□有实用价值；□意义不大。

2、论文的难度：□偏高；□适当；□偏低。

3、论文的工作量：□偏大；□适当；□偏小。

4、设计或研究方案的可行性：□好；□较好；□一般；□不可行。

5、学生对文献资料及课题的了解程度：□好；□较好；□一般；□较差。

6、学生在论文选题报告中反映出的综合能力和表达能力：

□好；□较好；□一般；□较差。

7、学生在论文选题报告中反映出的创新能力：

□好；□较好；□一般；□较差。

8、对论文选题报告的总体评价：□好；□较好；□一般；□较差

（在相应的方块内作记号“√”）

二级学院所确定评议小组名单（3-5人）

组长： 、

组员： 、 、 、

单位盖章 主管领导签名：

年 月 日

评议结论

评议小组组长签名：
评议小组组员签名：

年 月 日