7月20日-每日安全知识热点

阅读量87392

|

发布时间 : 2016-07-20 10:53:42

https://p5.ssl.qhimg.com/t019e23f2598bc38636.jpg

技术类:

Paypal bug bounty: 未经同意更新Paypal.me的profile(CSRF攻击)

https://hethical.io/paypal-bug-bounty-updating-the-paypal-me-profile-picture-without-consent-csrf-attack/

 绕过GMAIL的恶意宏签名

https://warroom.securestate.com/bypassing-gmails-malicious-macro-signatures/

运行Magento的加密库

http://www.openwall.com/lists/oss-security/2016/07/19/3

CVE-2016-5080:Heap memory corruption in ASN.1 parsing code generated by Objective Systems Inc. ASN1C compiler for C/C++

https://github.com/programa-stic/security-advisories/tree/master/ObjSys/CVE-2016-5080

盗版的AV绕过Exploit缓解 

http://breakingmalware.com/vulnerabilities/captain-hook-pirating-avs-bypass-exploit-mitigations/

 使用CSRF偷取fackbook的access_token

https://www.josipfranjkovic.com/blog/hacking-facebook-csrf-device-login-flow

 客户端redis攻击POC

https://ericrafaloff.com/client-side-redis-attack-poc/

 APPLE IMAGE I/O API TILED TIFF远程代码执行漏洞

http://www.talosintelligence.com/reports/TALOS-2016-0171/

 基本的Nngix优化

https://n0where.net/how-to-basic-nginx-optimization/

 使用Flash, PDF 和 Silverlight进行内容劫持的POC

https://github.com/nccgroup/CrossSiteContentHijacking

 有关iOS 9.3.3安全内容方面的更新

https://support.apple.com/en-us/HT206902

 nmap  7.25BETA1 发行:使用新的Npcap驱动,增加6个NSE脚本,更好的OS检测

http://seclists.org/nmap-announce/2016/3

 Cross-Chain Replay Attacks

http://hackingdistributed.com/2016/07/17/cross-chain-replay/

 如何更好的写Bug Bounty报告

https://hackerone.com/blog/how-bug-bounty-reports-work

 有漏洞的代码hooking引擎可以让终端被入侵

https://www.helpnetsecurity.com/2016/07/19/flawed-code-hooking-engines/

 Lurk作者入侵Ammyy站点放置木马后门

https://securelist.com/blog/research/75384/lurk-a-danger-where-you-least-expect-it/

 cve-2016-0189 : (VBScript Memory Corruption in IE11)

https://github.com/theori-io/cve-2016-0189

 Extraordinary String Based Attacks (Smashing the Atom)

http://mista.nu/research/smashing_the_atom.pdf

 分析Cerber 恶意欺诈软件的攻击过程

https://www.fireeye.com/blog/threat-research/2016/07/cerber-ransomware-attack.html

 分析Cknife,一个类似菜刀的webshell管理工具,第二部分

https://www.recordedfuture.com/web-shell-analysis-part-2/

 实践ntds.dit文件第六部分:使用john破解

https://blog.didierstevens.com/2016/07/19/practice-ntds-dit-file-part-6-password-cracking-with-john-the-ripper-wordlist/

 代码审计:基于PYTHON的WEB应用程序的代码审计

https://www.appsecconsulting.com/blog/cod

 drupal 8.1.6因为使用了Guzzle库,所以容易受httpoxy攻击

https://cxsecurity.com/issue/WLB-2016070150

 Retefe 银行木马的演变

https://blog.avast.com/the-evolution-of-the-retefe-banking-trojan

资讯类:


菲律宾政府网站遭受DDOS攻击 

http://news.softpedia.com/news/philippines-government-websites-hit-by-massive-ddos-attacks-china-suspected-506412.shtml

 国家能源网的恶意软件可以绕过网络和物理安全

http://www.infosecurity-magazine.com/news/nation-state-energy-grid-malware/

 国内资讯:


360网神发布源代码检测新品 引领软件安全开发新模式

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/84240

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66