Checkmarx的网络安全研究人员发现了一个影响 Android上亚马逊照片应用程序的严重漏洞。
如果被利用,该漏洞可能允许安装在用户手机上的恶意应用程序窃取他们的亚马逊访问令牌。
从技术角度来看,亚马逊访问令牌用于跨各种亚马逊应用程序接口 (API) 对用户进行身份验证,其中一些包含可能在攻击期间暴露的个人身份信息 (PII)。
其他API,如Amazon Drive API,可能允许威胁参与者 (TA) 获得对用户文件的完全访问权限。
根据Checkmarx的说法,该漏洞源于照片应用程序组件之一的错误配置,这将允许外部应用程序访问它。
每当启动此活动时,它都会触发一个HTTP请求,该请求带有一个带有客户访问令牌的标头。然后可以控制接收请求的服务器。
研究人员写道:“知道了这一点,安装在受害者手机上的恶意应用程序可以发送有效启动易受攻击活动的意图,并触发将请求发送到攻击者控制的服务器。”
有了所有这些可供攻击者使用的选项,勒索软件场景很容易成为可能的攻击媒介。恶意行为者只需要读取、加密和重写客户的文件,同时擦除他们的历史记录。
此外,Checkmarx 解释说,它在研究中只分析了几个 API,构成了整个亚马逊生态系统的一小部分。#亚马逊# #网络安全# #勒索软件#
![](https://wx4.sinaimg.cn/large/008c966Qly1h3qbzkgpfqj31hc12owqa.jpg)
如果被利用,该漏洞可能允许安装在用户手机上的恶意应用程序窃取他们的亚马逊访问令牌。
从技术角度来看,亚马逊访问令牌用于跨各种亚马逊应用程序接口 (API) 对用户进行身份验证,其中一些包含可能在攻击期间暴露的个人身份信息 (PII)。
其他API,如Amazon Drive API,可能允许威胁参与者 (TA) 获得对用户文件的完全访问权限。
根据Checkmarx的说法,该漏洞源于照片应用程序组件之一的错误配置,这将允许外部应用程序访问它。
每当启动此活动时,它都会触发一个HTTP请求,该请求带有一个带有客户访问令牌的标头。然后可以控制接收请求的服务器。
研究人员写道:“知道了这一点,安装在受害者手机上的恶意应用程序可以发送有效启动易受攻击活动的意图,并触发将请求发送到攻击者控制的服务器。”
有了所有这些可供攻击者使用的选项,勒索软件场景很容易成为可能的攻击媒介。恶意行为者只需要读取、加密和重写客户的文件,同时擦除他们的历史记录。
此外,Checkmarx 解释说,它在研究中只分析了几个 API,构成了整个亚马逊生态系统的一小部分。#亚马逊# #网络安全# #勒索软件#
![](https://wx4.sinaimg.cn/large/008c966Qly1h3qbzkgpfqj31hc12owqa.jpg)
擎微模块 灵石114同城电话本 4.0.9 后台+前端小程序,新增小程序导航功能
模块介绍:
将解决之前所遇到的绝大部分问题;
采用新界面设计,使小程序更加简洁;
前端:
1.统一采用蓝色主题
2.分类目前固定为5个
3.电话簿页面:取消之前5中色彩展示,同一颜色为白色,黑色
4.入驻页面重写,更加简洁更短的商户入驻流程,取消无用的设计
5.优化支付流程,不再容易在支付时出错了!
6.个人中心页面重写
7.全面支持小程序流量主
后端:
1.全新的管理后台
2.电话簿管理页面可自由编辑,可后台添加
3.新增商户入驻通知,需要一个服务号权限
4.新增三种存储方式
5.新增小程序通知用户信息
6.优化菜单结构逻辑
版本更新:
版本号:4.0.9 – 运营版
新增小程序导航功能
备注:如需要此功能,需要提交小程序审核
![](https://wx3.sinaimg.cn/large/008s7WYXly1h3jehmvhesj30610aqq3f.jpg)
模块介绍:
将解决之前所遇到的绝大部分问题;
采用新界面设计,使小程序更加简洁;
前端:
1.统一采用蓝色主题
2.分类目前固定为5个
3.电话簿页面:取消之前5中色彩展示,同一颜色为白色,黑色
4.入驻页面重写,更加简洁更短的商户入驻流程,取消无用的设计
5.优化支付流程,不再容易在支付时出错了!
6.个人中心页面重写
7.全面支持小程序流量主
后端:
1.全新的管理后台
2.电话簿管理页面可自由编辑,可后台添加
3.新增商户入驻通知,需要一个服务号权限
4.新增三种存储方式
5.新增小程序通知用户信息
6.优化菜单结构逻辑
版本更新:
版本号:4.0.9 – 运营版
新增小程序导航功能
备注:如需要此功能,需要提交小程序审核
![](https://wx3.sinaimg.cn/large/008s7WYXly1h3jehmvhesj30610aqq3f.jpg)
我们如何将 DNS 记录的建立速度提高了 4000 倍以上(二)
如何设法大幅提高 DNS 记录的传播速度?
按记录构建:一种新的构建类型
你们中的许多人可能已经在脑海中找到了解决这个问题的方法:
为什么区域构建器不直接在数据库中查询已更改的记录并仅传播单个记录?
当然,这是正确的解决方案,也是我们最终得到的解决方案。然而,通往成功的道路并不像看起来那么简单。
首先,我们的数据库使用一系列函数,这些函数在区域接触时创建一个 PostgreSQL 队列 (PGQ) 事件,该事件最终变成一个 Kafka 事件。最初,我们对单个记录事件没有区别,这意味着我们的区域构建器在查询数据库之前不知道实际发生了什么变化。
其次,除了记录之外,区域构建器还负责 DNS 区域设置。DNS 区域设置的一些示例包括自定义名称服务器控制和 DNSSEC 控制。因此,我们的区域构建器需要了解特定的构建类型,以确保它们不会相互影响。此外,按记录构建不能以与区域构建相同的方式进行批处理,因为每个事件都需要单独操作。
因此,需要编写一个全新的调度系统。最后,需要重写 Quicksilver 交互以考虑不同类型的调度程序。这些问题可以细分如下:
1. 为包含有关已更改记录的信息的记录更改创建一个新的 Kafka 事件管道。
2. 将区域构建器分离成一种新型的调度程序,该程序实施一些已定义的调度程序接口。
3. 实施按记录调度程序,以正确的顺序逐个读取事件。
4. 为按记录调度程序实施新的 Quicksilver 接口。
点击了解详情:https://t.cn/A6a2ZcwS
也随时欢迎与我们取得联络,获取更多相关资讯
https://t.cn/A6XKpr57
#Cloudflare# #DNS##PGQ##Kafka##网络速度和可靠性#
![](https://wx4.sinaimg.cn/large/0081oJ3Qgy1h3h6drnpydj31e00s5n5v.jpg)
如何设法大幅提高 DNS 记录的传播速度?
按记录构建:一种新的构建类型
你们中的许多人可能已经在脑海中找到了解决这个问题的方法:
为什么区域构建器不直接在数据库中查询已更改的记录并仅传播单个记录?
当然,这是正确的解决方案,也是我们最终得到的解决方案。然而,通往成功的道路并不像看起来那么简单。
首先,我们的数据库使用一系列函数,这些函数在区域接触时创建一个 PostgreSQL 队列 (PGQ) 事件,该事件最终变成一个 Kafka 事件。最初,我们对单个记录事件没有区别,这意味着我们的区域构建器在查询数据库之前不知道实际发生了什么变化。
其次,除了记录之外,区域构建器还负责 DNS 区域设置。DNS 区域设置的一些示例包括自定义名称服务器控制和 DNSSEC 控制。因此,我们的区域构建器需要了解特定的构建类型,以确保它们不会相互影响。此外,按记录构建不能以与区域构建相同的方式进行批处理,因为每个事件都需要单独操作。
因此,需要编写一个全新的调度系统。最后,需要重写 Quicksilver 交互以考虑不同类型的调度程序。这些问题可以细分如下:
1. 为包含有关已更改记录的信息的记录更改创建一个新的 Kafka 事件管道。
2. 将区域构建器分离成一种新型的调度程序,该程序实施一些已定义的调度程序接口。
3. 实施按记录调度程序,以正确的顺序逐个读取事件。
4. 为按记录调度程序实施新的 Quicksilver 接口。
点击了解详情:https://t.cn/A6a2ZcwS
也随时欢迎与我们取得联络,获取更多相关资讯
https://t.cn/A6XKpr57
#Cloudflare# #DNS##PGQ##Kafka##网络速度和可靠性#
![](https://wx4.sinaimg.cn/large/0081oJ3Qgy1h3h6drnpydj31e00s5n5v.jpg)
✋热门推荐