首页
学习
活动
专区
圈层
工具
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

WhatsApp UAF 漏洞分析(CVE-2019-11932)

rce的过程[2],只要结合浏览器或者其他应用的信息泄露漏洞就可以直接在现实中远程利用,并且Awakened在博客中也提到了: 1、攻击者通过任何渠道将GIF文件发送给用户其中之一可以是通过WhatsApp...作为文档(例如,按“Gallery”按钮并选择“Document”以发送损坏的GIF) 如果攻击者在用户(即朋友)的联系人列表中,则损坏的GIF会自动下载,而无需任何用户交互。...2、用户想将媒体文件发送给他/她的任何WhatsApp朋友。因此,用户按下“Gallery”按钮并打开WhatsApp Gallery以选择要发送给他的朋友的媒体文件。...请注意,用户不必发送任何内容,因为仅打开WhatsApp Gallery就会触发该错误。按下WhatsApp Gallery后无需额外触摸。...二、首先呢,当WhatsApp用户在WhatsApp中打开“Gallery”视图以发送媒体文件时,WhatsApp会使用一个本机库解析该库,libpl_droidsonroids_gif.so以生成GIF

90920

分布式 12306 购票助手,天南海北随心行 | 开源日报 No.37

快速可靠地评估业务规则和复杂事件处理 具有基于前链和后链推理的规则引擎 可以用作专家系统的基本构建块 orkestral/venom[4] Stars: 5.2k License: Apache-2.0...Venom Bot 是一个使用 JavaScript 开发的高性能系统,用于创建 WhatsApp 机器人。...它支持创建各种交互,如客户服务、媒体发送、基于人工智能的句子识别以及 WhatsApp 的所有类型设计架构。...获取联系人列表、聊天记录和群组信息 发送联系人名片和按钮消息 hackclub/putting-the-you-in-cpu[5] Stars: 3.9k License: MIT 这个项目是一个技术解释...通过 REST 和 GraphQL API 与其他系统进行交互,并支持 NATS、CloudEvents 和 gRPC 等技术栈。

24220
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    WhatsApp一键自动翻译

    说起WhatsApp大家都知道,是全球用户最多的即时社交工具,对于做跨境电商的外贸人来说,它的作用和价值不言而喻。...但是WhatsApp自身又没有翻译的功能,当我们和国外客户用WhatsApp聊天交流的时候语言不通而烦恼,遇到会中文的还好点,遇到不会中文的如何应对和解决呢?...WhatsApp是基于手机号码注册的,在注册的时候,需要输入手机号码,并接受一条验证短信,然后WhatsApp会搜索你的手机联系人中已经在使用的人并自动添加到你的手机联系人名单里。...扩展资料在Android、Nokia(S40、S60)和BlackBerry用户中,使用WhatsApp通常可免费试用一年,往后需付年费,每年收费0.99美元。...在iOS版本中,用户要先付0.99美元,才拥有在App Store的下载及使用权。

    2.8K41

    Adobe Flash Player木马惊现新变种

    最近暗影安全实验室在日常监测中发现了一款新的木马病毒Ginp,虽然他和前两周发布的反间谍之旅004报告中描述的“Flash Player”木马病毒名称很相似都带有“Flash Player”,但是他们却属于不同病毒家族...图 2-1 获取应用配置信息 监控服务器响应状态,获取C2服务器下发的指令,窃取用户联系人列表、短信列表等信息。发送指定短信内容到指定联系人,目的是传播恶意软件。 ?...图2-2 获取C2服务器指令 指令列表 表2-1 指令列表 指令 功能 SENT_SMS 从C2获取指定短信内容发送至指定号码 NEW_URL 更新C2 URL KILL 停止服务 PING_DELAY...图2-6 打开HOME界面 (4)覆盖攻击:监测用户打开的应用,从服务器获取网页覆盖目标应用,该服务器模拟真实的应用程序页面进行覆盖,以窃取用户登录凭证。 ?...加载覆盖网页 http://64.**.51.107/api2/sms.php 上传短信信息 四、同源样本 监测中发现的服务器地址相同的样本。

    1.4K20

    FireEye:Hacking Team军火库中大量运用iOS假面攻击

    所以对于高于iOS 8.1.3版本的设备,尽管假面攻击漏洞已经被修复(App使用相同的图标是不会被替换的),攻击者仍然可以通过配置一个独特的图标来部署假面App。 ?...上图显示了经过重新打包的Facebook应用在运行时的行为,启动应用程序之后连续3次弹出请求访问照片,麦克风,以及联系人的警告。 ?...精确的GPS坐标记录 联系人信息 照片 需要特别注意的是,dylib有能力完成仅从目标用户下载数据的任务。...通过URL进行配置的方案 远程服务器和恶意行为都是通过URL进行配置的,在每一个样本案例中,我们发现一个用来增加Info.plist文件的定制URL。...通过连接“application:openURL:sourceApplication:annotation:”函数,当打开这个URL,恶意dylib就开始解析配置数据。

    86850

    PHP在线客服系统源码H5|网页在线客服系统源码APP搭建3.0防黑加固版

    他们在Messenger中拥有的联系人越多,他们使用它的频率就越高。使联系人整合快捷方便。良好的用户体验意味着自动从通讯录导入联系人。  向用户显示通讯录中还有哪些人使用该应用程序。...提供向朋友发送邀请、搜索可能不在通讯录中的朋友、使用应用程序以及在应用程序中共享联系人的功能。如果应用程序不提供通过电话号码的注册,则无需访问通讯录。...WhatsApp使用一个对所有消息进行加密的系统,收件人拥有解密内容的密钥。这会阻止任何第三方(包括WhatsApp本身)阅读您的消息。...要创建WhatsApp或其他消息应用程序,您需要以下基本功能:  ●授权  ●导入联系人  ●在线客服系统源码  ●文件共享  ●追踪位置  ●强大的加密功能  如果您想从一-开始就创建一个功能齐全的客服系统...客服聊天API和SDK解决方案可减少技术不确定性,并增加您的应用按时、按预算成功启动的可能性。

    54950

    只需200行Flask代码即可实现的虚拟试衣WhatsApp应用。

    但是能直接借助通讯应用直接在手机上就能体验的却很少。 今天,我要介绍的这款虚拟试衣应用,在WhatsApp上发送图片即可实现虚拟试衣。...主要功能 • WhatsApp API 集成 :应用通过 Twilio 提供的 WhatsApp API,用户可以直接在 WhatsApp 上与应用进行互动。...• 环境准备 确保你的环境中安装了 Flask 和 Twilio 库。...python app.py • 配置 WhatsApp API 在 Twilio 上创建账户并获取 WhatsApp API 凭证,将其配置到应用中。...结语 随着科技的不断进步,虚拟试衣应用正为我们打开全新的购物体验。通过简单的操作和创新的技术,这一应用不仅让试穿变得轻松有趣,还打破了传统购物的局限。

    12710

    WhatsApp UAF 漏洞分析(CVE-2019-11932)

    [0]对whatsapp的分析与利用的文章,其工具地址是[1],并且演示了rce的过程[2],只要结合浏览器或者其他应用的信息泄露漏洞就可以直接在现实中远程利用,并且Awakened在博客中也提到了:...1、攻击者通过任何渠道将GIF文件发送给用户其中之一可以是通过WhatsApp作为文档(例如,按“Gallery”按钮并选择“Document”以发送损坏的GIF) 如果攻击者在用户(即朋友)的联系人列表中...2、用户想将媒体文件发送给他/她的任何WhatsApp朋友。因此,用户按下“Gallery”按钮并打开WhatsApp Gallery以选择要发送给他的朋友的媒体文件。...请注意,用户不必发送任何内容,因为仅打开WhatsApp Gallery就会触发该错误。按下WhatsApp Gallery后无需额外触摸。...0x01 首先呢,当WhatsApp用户在WhatsApp中打开“Gallery”视图以发送媒体文件时,WhatsApp会使用一个本机库解析该库,libpl_droidsonroids_gif.so以生成

    1.2K20

    谨防新型跟踪恶意软件:Monitor Minor

    Monitor Minor,一个由卡巴斯基实验室的专家发现的新的跟踪软件,可以跟踪Gmail,WhatsApp,Instagram和Facebook的用户活动。...在“干净的”Android操作系统中,沙箱阻止了应用程序之间的直接通信,因此跟踪软件无法简单地打开并获取WhatsApp的访问权限。这种访问模型称为DAC(自由访问控制)。...又因为Monitor Minor利用Accessibility Services API来拦截受控应用程序中的事件,即使没有root访问权限,它也可以使用此API在所有设备上有效运行。...该恶意软件还实现了键盘记录器,通过此API,允许使用者监视剪贴板并转发内容。...此外,还有使用SMS命令控制设备、查看设备摄像头中的实时视频、记录设备麦克风的声音、在Chrome中查看浏览历史记录、查看某些应用的使用情况统计信息、查看设备内部存储的内容、查看联系人列表、查看系统日志等诸多功能

    88820

    苹果9月15日举行发布会,将推四款iPhone13;联发科启动大规模招聘,年薪最高250万台币;谷歌调整股权分配政策...

    上海市高级人民法院已于9月6日接受小 i 机器人提出的禁令申请,案件持续审理中。...同时,“碳矩阵”可以实现企业碳中和数据统一平台管理及数据可视化,以及链上第三方专业机构认证和颁发证书。通过区块链安全计算的能力,帮助企业在确保数据安全的前提下披露环境相关数据。...Facebook 无法打开 WhatsApp 传输的信息。...但 2018 年,Facebook CEO 扎克伯格在向美国参议院作证时表示:「我们在 WhatsApp 中没有查看任何内容。」 其实,这并不是 WhatsApp 首次遭遇类似的指控。...联系人:kk__wu(微信号) 投稿邮箱:pub@sdnlab.com 详情请参考:SDNLAB原创文章奖励计划

    48330

    通过ASP.NET Web API + JQuery创建一个简单的Web应用

    看了dudu的《HttpClient + ASP.NET Web API, WCF之外的另一个选择》一文,想起多很久之前体现ASP.NET Web API而创建的一个Demo。...的Web应用 这个简单的Demo应用用于模拟“联系人管理”。...当页面加载的时候,所有的联系人列表被列出来。在同一个页面中,我们可以添加一个新的联系人,也可以修改和删除现有联系人信息。整个应用唯一的页面在浏览器中的呈现效果如下图所示。 ?...二、通过ASP.NET Web API提供服务 我们来简单介绍作为Web API形式发布的联系人管理服务的定义,先来看看用于表示联系人的Contact类型的定义。...Action方法名称与HTTP方法的默认影射机制,我们可以直接在浏览器中分别访问地址“/api/contact”和“/api/contact/001”得到所有联系人列表和ID为“001”的联系人信息。

    869100

    WWDC2016简报

    3、Siri开放SDK iOS10中,用户可以直接在Siri中控制第三方应用,比如搜索、查看微信消息,通过Siri呼叫滴滴打车等。...首批支持Siri的第三方应用包括,微信、滴滴Uber、Lyft、WhatsApp、Slack、Shutterfly、Pinterest,Runtastic、RunKeeper、Saqure、Spark、...4、相册应用 iOS10中的相册应用现在加入智能脸部识别和场景识别功能,支持高级搜索功能,也将自动整合元素相近的照片,提供一个记忆功能面板,可以提供基于地图或不同身份的整合显示。...联系人功能加强,提供VoIP API,社交软件的联系方式可以直接添加到自带联系人中。 ?...此外,watchOS 3开放了大量API,并加入游戏中心、Apple Pay功能,同时也能够直接在Apple Watch上观看视频。 tvOS ? 新版tvOS内集成的Siri功能进一步增强。

    1.5K110

    12306网上购票进行身份核验的步骤「建议收藏」

    然后很多人说7天15天什么的,其实可以看到12306中的《铁路互联网购票身份核验须知》里根本没有提到时间期限,但有一个要求的行为,可能很多人没去做,这就是——“待核验”:指注册用户、常用联系人(乘车人)...添加联系人: (1) 方式一:在常用联系人界面添加联系人 点击【常用联系人】——【增加】按钮 在打开的“添加常用联系人”界面按照要求填写相关信息: (2) 方式二:在订票界面添加联系人(不建议在该界面中添加联系人...,因为该方式无法选择性别,更容易导致身份无法通过核验) 点击【新增乘客】: 在打开的界面中填写相关信息: 注意:在该方式中,如果你是第一次给某位女性买票而没有提前把她加入新联系人,在点击订票页面后选择联系人环节点击添加新联系人...身份证核验 可以他人代办的。我是直接拿着别人的身份证,告诉工作人员要进行身份证核验,然后工作人员直接在她那里刷一下就可以了。...注意事项: 1、先加入常用联系人,再网络购票; 2、在常用联系人界面添加联系人; 3、一定要去火车站进行身份核验,不是买票; 4、核验后记得点击那个编辑按钮进行再次保存,它不会自动更新。

    5.2K20

    号称最安全的Telegram也中招!某网惊现数百万用户电话信息

    据俄媒Kod Durova表示,数据库中约70%的账户属于伊朗用户,其余30%属于俄罗斯用户。Telegram证实了数据泄露,并解释说,该信息是通过通讯录联系人输入功能获得的。...一个坏的参与者只需要从电话簿中输入一串作为“联系人”的号码给messenger,然后等待它找到与某人的账户匹配的号码。...没有问题:就像WhatsApp或Facebook Messenger一样,Telegram是基于电话号码来进行联系的。...这意味着您必须能够看到你的联系人也使用这个应用程序,“电报发言人告诉ZDNet,”电话号码设置控制电话号码的用户可见性没有你的电话号码(而不是WhatsApp显示你的电话号码在任何其他人集团)。”...数据安全似乎是一个永恒的话题,但是任何事情都有两面,一面好一面坏,我们能做的是在尽可能的安全下,为失散亲人的家庭找回希望,完善全国打拐第一库。 也许乌云只是暂时蒙蔽了我们的双眼,但正义永远不会迟到。

    2.6K20

    Android 渗透测试学习手册 第五章 Android 取证

    我们现在可以查看我们的 SD 卡路径,我们可以找到保存的.csv文件。 然后我们可以在任何.csv文件查看器中打开这些.csv文件来查看详细信息。...因此,AFLogical 是一个快速有效的工具,用于从设备中提取一些信息,如联系人,通话记录和消息。...如果我们仔细看一看,在我们的backups.tar中,还有一个名为msgstore.db的 WhatsApp 应用程序的数据库。 让我们继续分析和研究数据库内部的内容。...现在,如果我们在 SQLite 数据库浏览器中打开msgstore.db文件并访问浏览器数据,我们可以在 SQLite 浏览器中看到我们的所有 WhatsApp 对话。...在以下截图中,我们可以看到在 SQLite 数据库浏览器中打开的msgstore.db,它显示 WhatsApp 应用程序的所有聊天对话: 5.7 使用 logcat 记录日志 Android logcat

    78610

    苹果iOS10系统正式发布,开放Siri SDK

    iOS10系统锁屏界面经过了重新设计,尤其丰富了操作控制、整合第三方应用和3DTouch功能,控制中心支持左右滑动,锁屏向右滑动直接打开相机等,左滑则有丰富的插件集成。...与锁屏界面一样,使用3DTouch也可以在控制中心实现更多样化的操作。 2、开放SiriSDK iOS10系统中,苹果语音助手也获得了重大升级。...用户可以直接在Siri中控制第三方应用,比如搜索、查看微信消息,通过Siri呼叫滴滴打车等。...Siri开放给第三方(即开放SDK),而首批支持Siri的第三方应用包括微信、滴滴Uber、Lyft、WhatsApp、Slack、Shutterfly、Pinterest,Runtastic、RunKeeper...联系人功能加强,提供VoIPAPI,社交软件的联系方式可以直接添加到自带联系人中。

    98790

    窃听电话的Hacking Team RCSAndroid木马

    RCSAndroid有十种“超能力” 趋势科技研究人员发现的这种新木马叫做RCSAndroid,并称之为是迄今为止安卓中“最专业和最复杂”的恶意程序之一。...、Twitter、Google、WhatsApp、Mail和LinkedIn。...·使用麦克风录音 ·记录短信、多媒体信息和Gmail消息 ·记录定位坐标 ·收集设备信息 ·使用前置、后置摄像头拍照 ·收集账户中的联系人并解码通信,账户包括Facebook Messenger、WhatsApp...、Skype、Viber、Line、微信、Hangouts、以及黑莓消息 ·拦截系统的mediasever服务,可时录下任何电话与App的语音通话 这个木马可以通过不同方式感染设备,但通常是以带有URL...“在安卓4.0至4.3版本的默认浏览器中,这个URL将触发对任意内存读取(CVE-2012-2825)漏洞及堆缓冲区溢出(CVE-2012-2871)的利用,攻击者进而可以执行另一个本地提权。

    1.8K80

    通过Knockout.js + ASP.NET Web API构建一个简单的CRUD应用

    不过客户对“用户体验”的要求是“与日俱增”的,很多被“惯坏了”的用户已经不能忍受Postback带来的页面刷新,所以Ajax在企业级Web应用中得到了广泛的应用。...一、一个简单的基于CRUD的Web应用 在《通过ASP.NET Web API + JQuery创建一个简单的Web应用》中,我采用jQuery + ASP.NET Web API构建了一个单纯的对单一数据进行...这个简单的Demo应用用于模拟“联系人管理”。当页面加载的时候,所有的联系人列表被列出来。在同一个页面中,我们可以添加一个新的联系人,也可以修改和删除现有联系人信息。...整个应用唯一的页面在浏览器中的呈现效果如下图所示。 ? 二、通过ASP.NET Web API提供服务 先来看看ApiController的定义。...Action方法名称与HTTP方法的默认影射机制,我们可以直接在浏览器中分别访问地址“/api/contacts”和“/api/contacts/001”得到所有联系人列表和ID为“001”的联系人信息

    1.2K90
    领券