先为我们的同学@dwj1210鼓鼓掌👏。作为围观了整个漏洞从发现到最终形成本篇文章的同学。小编前面先说一句：本次漏洞发现非常巧合，前些天给WMCTF出题的时候，dwj同学突然小声念叨好像挖到了一个RCE。于是在出完题后，我们开始了给Apple提交漏洞帮助Apple修复的漫长之路，也就有了dwj这篇文章。以下就是dwj同学的自述：为什么这里叫做

us陌陌安全致力于以务实的工作保障陌陌旗下所有产品及亿万用户的信息安全以开放的心态拥抱信息安全机构、团队与个人之间的共赢协作以自由的氛围和丰富的资源支撑优秀同学的个人发展与职业成长/

随着陆续出台的一系列规定要求，监管粒度在持续更新和细化，包括41391《移动互联网应用程序（APP）收集个人信息基本要求》（以下简称《基本要求》）、网信发布的《应用程序信息服务管理规定》、《用户账号信息管理规定》以及工信即将修订的《电信和互联网用户个人信息保护规定》，我们现在就来逐一聊一聊~Q1

创新类产品一般业务：陌陌极速版、赫兹、对对、soulchill、纸球、贴贴、咔咔以及使用immomo.com域名发布的创新类产品边缘业务：不是使用immomo.com域名发布的创新类产品*

上一篇文章《App合规实践3000问》发出后得到了大家的热烈反响，盼望着，盼望着，我们带着合规实践3000问第二篇大步走来了。看着上一篇大家都在讨论说才7个问题，离3000还有很遥远的距离，我们的心里在滴血，那其实是10个问题！作为头秃的码字作者，3个问题也是很宝贵的。这次我们依然会再讲解10个问题。Q1

us陌陌安全致力于以务实的工作保障陌陌旗下所有产品及亿万用户的信息安全以开放的心态拥抱信息安全机构、团队与个人之间的共赢协作以自由的氛围和丰富的资源支撑优秀同学的个人发展与职业成长/

沃·兹基硕德小贴士拆盲盒是什么感觉对未知感到兴奋2020还有一个月就过去了还记得去年年底最后一次的直播抽奖月神手握35次抽奖机会收获35个奖品！！（这就是大佬年年都具备的实力吗？）购物基金+各种礼品主播抽奖抽到手抽筋今年准备再和大家继续来一波儿狂欢抽奖下面介绍本次活动详情翻倍奖励+活动抽奖加成+年榜单额外奖励奖励体系&业务范围基础奖励+升级奖励+季度抽奖画个重点就是：每季度为周期，无任何活动的情况下奖励最高2.5倍buff加成+额外升级奖励7000元+惊喜抽奖详情：重大新闻

调整通知因陌陌游戏业务调整，开心小镇从2020年11月25日起将不在漏洞接收范围内。业务范围汇总MMSRC漏洞提交最新业务范围及业务分级如下：●

immomo并安装即可。插件规则开源版本目前包含以下规则。规则名称修复建议一键修复多项式拼接型SQL注入漏洞T占位符拼接型SQL注入漏洞TMybatis注解SQL注入漏洞TTMybatis

沃·兹基硕德小贴士这次的开源，十分给力！陌陌合规审计平台很多企业因为面临的监管繁多而不知道从何处入手。当下企业不仅面临着国内隐私合规保护、等级保护、内部控制等监管合规要求，美国上市公司还要遵守SOX法案，一些出海公司更是面临GDPR、CCPA等更为复杂的合规要求。除外部监管之外，企业内部在快速发展的同时也会面临着系统繁杂、员工权限管理不到位、操作流程不规范等问题。随着监管合规要求的日趋严格和监管标准的日益精细，企业也更加重视合规工作，合规成本随之增加。传统的审计方法是人工采集、整理、归档各处离散的数据，并且在这过程中会存在重复沟通等低效行为，这样会让人力和时间成本消耗在对海量且割裂的数据分析中，不仅无法提升工作效率，更无法快速发现真正的潜在风险。陌陌安全通过研究监管要求，并结合成熟的落地实践经验，设计开发了一套完善的合规审计平台，解决了企业在合规审计过程中面临的痛点，为企业贯彻落实监管要求及日常内部管理提供了便利。首先我们通过推拉两种方式全面自动化采集审阅范围的数据，功能点见资产清单，可以实时查询到所审阅应用系统/操作系统/数据库的所属范围、负责人、状态等。其次可根据权限不相容矩阵、写操作正则匹配等预设规则，生成任务中的审阅报告，报告中对合规性关键控制点风险高亮标识，有利于审阅人快速发现潜在风险。功能点见策略配置，可根据实际情况灵活拓展。最后，还具有实时判断风险、快速查询合规审阅报告的综合能力，功能点见任务列表，可查看所有审阅项目，用于审阅报告归档。此外，知识库涵盖企业合规所依据的法律法规，可解析管理要求、控制点、内部制度、检查标准等。APP隐私合规记录和跟踪现状与进展，对相关文档、评估情况积累沉淀，为应用上架提供支持。国家监管要求不断完善，各个行业内控要求不断深化，合规审计工作也会向多方面不断推进，欢迎大家一起讨论交流。工具地址https://github.com/momosecurity/bombus点击左下角↙️「阅读全文」也可查看项目代码陌陌安全陌陌安全致力于以务实的工作保障陌陌旗下所有产品及亿万用户的信息安全，以开放的心态拥抱信息安全机构、团队与个人之间的共赢协作，以自由的氛围和丰富的资源支撑优秀同学的个人发展与职业成长。

沃·兹基硕德小贴士多点开源，多点爱！TL;DR陌陌安全本次开源一系列构建工具插件，用于检测工程项目中存在漏洞的第三方依赖组件，欢迎各位试用。从SCA说起企业加速业务研发，常常会使用开源技术提升研发效率。于此同时，开源组件也会引入诸多不安全因素。软件成分分析（SCA）的主要功能之一即是列出目标产品所使用的开源组件，并发现其中潜藏的漏洞隐患。本次陌陌开源的系列插件重点关注此类问题。MOSEC-X-PLUGIN检测第三方组件的安全隐患是个两端繁重中间轻松的工作。一端要适配不同语言不同种类的构建工具（或依赖管理工具），另一端对漏洞规则数据的要求较为严格，而中间的比对工作相对轻松。陌陌安全在公司内部实践过程中，借鉴了Snyk公司的产品理念，对其部分开源项目二次开发，并加入创新功能。插件不仅能够支持传递依赖检测，漏洞分级检测等常规操作，陌陌内部还将其推广到研发端，做到研发自主检测，主动修复。同时，陌陌内部CICD平台也接入本系列插件，以保证线上项目符合安全生产规范。我们的优势明确唯一的提示当前业界漏洞规则大多使用公开的CVE/CNVD数据，其数据多而繁杂。以jackson-databind举例，截止目前统计单组件就拥有26个CVE编号之多。将这些内容一股脑推送给研发同学，定会让他们头痛不已。往往，研发同学并不重点关注“怎么了”，更希望知道“怎么做”。陌陌插件会根据漏洞数据产生明确且唯一的升级提示，简化理解难度、明确工作内容、降低工作复杂程度。多语言工具支持使用跨语言工具既是挑战，也可能是灾难。陌陌为不同的构建工具分别开发插件，无论是接入CICD平台，还是研发自主检测，都能够在同语言环境的工具下操作，从而降低工作难度。自定义漏洞规则数据开源软件除了免费、透明的特点以外，还可以灵活自定义。实践中发现，内部自研组件也会出现漏洞和升级需求，这可是CVE数据里找不到的。自定义漏洞规则，可以满足构建过程主动拦截不合规的内部组件，完成内部组件全量升级的需求。工具地址Composer插件：https://github.com/momosecurity/mosec-composer-pluginMaven插件：https://github.com/momosecurity/mosec-maven-pluginGradle插件：https://github.com/momosecurity/mosec-gradle-pluginnode组件：https://github.com/momosecurity/mosec-node-pluginpip组件：https://github.com/momosecurity/mosec-pip-plugin后端API（含样例数据）：https://github.com/momosecurity/mosec-x-plugin-backend点击左下↙️「阅读全文」也可查看项目陌陌安全陌陌安全致力于以务实的工作保障陌陌旗下所有产品及亿万用户的信息安全，以开放的心态拥抱信息安全机构、团队与个人之间的共赢协作，以自由的氛围和丰富的资源支撑优秀同学的个人发展与职业成长。

本次公告主要内容如下：1、因三体云业务调整，2020年7月7日起，陌陌SRC将暂时停止收集3ttech.cn及其子域名相关漏洞/情报。如恢复接收，恢复时间会通过陌陌安全公众号以及陌陌安全应急响应中心平台进行公告发布。MMSRC陌陌安全应急响应中心（MMSRC，MOMO

沃·兹基硕德小贴士期待并肩作战的小伙伴多一个你陌陌安全陌陌安全致力于以务实的工作保障陌陌旗下所有产品及亿万用户的信息安全，以开放的心态拥抱信息安全机构、团队与个人之间的共赢协作，以自由的氛围和丰富的资源支撑优秀同学的个人发展与职业成长。

键盘等礼品，而之后又会是什么呢？反正，最好的礼物送给最好的你们（7月将迎来直播抽奖活动）周年庆小总结下面就来聊一聊周年庆我们到底送出了多少iPhone