7月18日-每日安全知识热点

阅读量104691

|

发布时间 : 2016-07-18 09:57:43

新鲜资讯,权威技术文章早抵达。今日热点中您感兴趣的内容请及时联系我们,360安全播报将免费为您翻译整理。

技术类:

https://www.arneswinnen.net/2016/07/how-i-could-steal-money-from-instagram-google-and-microsoft/

我如何从Instagram, Google 以及 Microsoft偷钱的 [主要是利用这些服务在注册电话认证时,拨打收费服务]

https://thelasttechie.com/2016/07/17/understanding-whatsapp-encryption/

深入浅出whatsapp加密通话机制

http://www.blackhillsinfosec.com/?p=5075

在linux下如何连接Juniper的双因子验证的VPN

https://github.com/biggiesmallsAG/nightHawkResponse

nightHawkResponse:夜鹰是一款开源的事件响应取证框架

http://blog.portswigger.net/2016/07/executing-non-alphanumeric-javascript.html

执行无数字英文字母以及没有括号的javascript运行,类似的技术可以被用于配合AngularJS构造xss payload (http://blog.portswigger.net/2016/04/adapting-angularjs-payloads-to-exploit.html)

https://www.invincealabs.com/blog/2016/07/running-windows-64bit-qemu/

在QEMU模拟模式中运行windows 64bit

https://averagesecurityguy.github.io/2016/04/21/cracking-mongodb-passwords/

破解MongoDB的密码

https://hethical.io/trello-bug-bounty-the-websocket-receives-data-when-a-public-company-creates-a-team-visible-board/

Trello bug bounty:当公共公司建立一个Team可视化Board时,可以通过websocket接收数据

https://www.insinuator.net/2016/07/notes-on-hijacking-gsmgprs-connections/

针对劫持 GSM/GPRS 连接的一些记录

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10755&actp=search

CVE-2016-1280:可通过自签名的证书可以欺骗Junos的CN,这个漏洞对点对点的VPN影响大,可以让攻击者监听流量,该漏洞的新闻报道在https://threatpost.com/juniper-crypto-bug-lets-attackers-eavesdrop-on-router-switch-traffic/119319/

https://0x41.no/mr-robot-s02e01-easter-egg/

MR.ROBOT[黑客军团]第二季上映了,其中第一季影片里的IP地址访问后居然包含一个彩蛋

https://cxsecurity.com/issue/WLB-2016070137

Drupal Webform Multiple File Upload 第三方模块的远程代码执行漏洞

http://www.h4ck.guru/passwordless.html

提供一种无密码验证的方法

https://sourceware.org/glibc/wiki/MallocInternals

malloc的内部原理

http://www.slideshare.net/madhuakula/node-js-reverse-shell

讲解node.js不安全编码导致反弹SHELL的PPT,如果想实践测试,可以到https://github.com/appsecco/vulnerable-apps下载漏洞程序

https://github.com/BorjaMerino/Pazuzu

通过反射DLL在内存中运行二进制文件

https://www.youtube.com/watch?v=qrTShcOW8kM&list=PLpr-xdpM8wG-Kf1_BOnT2LFZU8_SXfpKL

OWASP AppSecEU 16 会议的视频

https://github.com/fgrimme/Matroschka

Matroschka:python编写的隐写工具,可以在图片中隐藏文字或者图片

https://github.com/enddo/HatDBG

使用powershell编写的最小的Win32 Debugger工具

http://www.openwall.com/lists/owl-dev/2016/07/16/1

http://www.openwall.com/lists/owl-dev/2016/07/16/4

pam_passwdqc 中的非初始化指针使用BUG

https://framework.zend.com/security/advisory/ZF2016-02

当使用Zend_Db_Select时,潜在的ORDER和GROUP语句SQL注入

http://www.kalitut.com/2015/11/hackode-android-penetration-tester.html

Hackode:一款android下多功能的渗透工具集

http://repository.tudelft.nl/islandora/object/uuid:c71c85bc-d742-449b-88e7-33e172392ec2?collection=education

使用系统调用(system calls)检测恶意行为

https://hshrzd.wordpress.com/2016/07/15/unpacking-nsis-based-crypter-part-2/

解包基于NSIS-based Crypter的加壳,第二部分

https://isc.sans.edu/forums/diary/Python+Malware+Part+3/21265/

python恶意软件分析第三部分

https://www.youtube.com/watch?v=NySUxsWxaTo&feature=youtu.be

恶意软件分析:使用HxD动态解包Flash恶意软件

https://marcograss.github.io/security/cve/2016/07/16/cve-2016-6234-to-6238-multiple-dropbox-lepton-memory-corruptions.html

cve-2016-6234:dropbox lepton的多个内存损坏漏洞

https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Get-Handles.ps1

通过NtQuerySystemInformation监听打开的进程句柄

http://arizona.openrepository.com/arizona/bitstream/10150/613135/1/azu_etd_14572_sip1_m.pdf

自动反混淆和逆向混淆的代码

https://github.com/gophercon/2016-talks

gophercon 2016安全会议的所有PPT

https://www.youtube.com/watch?v=KeQVrYQ5Bzg

来自BSideds会议的视频,在域环境中保护你的浏览器秘密

资讯类:

http://news.softpedia.com/news/maxthon-browser-collects-sensitive-data-even-if-users-opt-out-506327.shtml

maxthon浏览器收集用户信息即使用户选择退出了

http://news.softpedia.com/news/misconfigured-server-exposes-alarm-system-details-for-oklahoma-bank-and-dps-506291.shtml

错误配置的服务器曝光俄克拉何马州银行的警报系统细节

http://news.softpedia.com/news/thomson-reuters-world-check-terrorist-database-goes-up-for-sale-on-the-dark-web-506357.shtml

汤森路透世界反恐检查数据库在暗网售卖

http://securityaffairs.co/wordpress/49388/data-breach/ubuntu-online-forums-hacked.html

ubuntu在线论坛因为SQL注入漏洞再次被黑

数据泄露消息:

大麦网600多万用户账号密码泄露,用户数据已被售卖。

大麦网称遭撞库39名用户被骗百余万 警方介入

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/84213

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66