首页

阅读

活动

招聘

安全导航

内容精选

【知识】12月25日 - 每日安全知识热点

阅读量161636

|

发布时间 : 2016-12-25 13:19:11

热点概要：Windows漏洞利用学习资源整理、我如何访问一个VOIP电话的文件系统并将它的铃声改为圣诞歌曲的、通过SQL注入获取恶意主机CC的访问权限、路由器利用框架rext

国内热词(以下内容部分摘自http://www.solidot.org/)：

比特币流通币值超过Twitter市值

迪拜警方开始使用犯罪预测软件

美国国会报告称斯诺登与俄罗斯情报机构有接触

大量手游尚未取得版号，从境外发行游戏绕过审批

资讯类：

又到圣诞夜:黑客威胁攻击Xbox Live和PSN平台

http://thehackernews.com/2016/12/christmas-ddos-attack.html

数据库泄露类：

黑客入侵“The Standard Hong Kong”报纸网站，并泄露数据

http://securityaffairs.co/wordpress/54696/data-breach/standard-hong-kong-hacked.html

技术类：

通过浏览器缓存绕过CSP script nonces

http://sebastian-lekies.de/csp/attacker.php

Robust futexes: lost wakeups and design flaws in the glibc/kernel synchronization scheme

https://sourceware.org/ml/libc-alpha/2016-12/msg00950.html

Windows漏洞利用学习资源整理

https://github.com/enddo/awesome-windows-exploitation

Veles:针对二进制数据分析的开源工具

https://codisec.com/veles/

cve-search：支持搜索、索引和管理的CVE搜索引擎项目

https://www.cve-search.org/software/

我如何访问一个VOIP电话的文件系统并将它的铃声改为圣诞歌曲的

http://gosecure.net/2016/12/23/embedded-prank-christmas-spirit-injection-for-your-voip-phone/

通过SQL注入获取恶意主机CC的访问权限

https://thinkingmaliciously.blogspot.co.id/

HITCON創辦人教你三大容器安全術加強網頁安全

http://www.ithome.com.tw/news/109872

rext：路由器利用框架

https://github.com/j91321/rext

SPF, DKIM & DMARC:EMAIL反欺骗技术的历史与未来

https://blog.fastmail.com/2016/12/24/spf-dkim-dmarc/

OpenSSH: agent 协议允许载入任意库漏洞

https://bugs.chromium.org/p/project-zero/issues/detail?id=1009

OpenSSH:如果privsep禁止，可以通过转发unix domain sockets实现本地提权漏洞

https://bugs.chromium.org/p/project-zero/issues/detail?id=1010

macOS < 10.12.2 / iOS < 10.2 Kernel Mach Port Name uref 提权漏洞

https://cxsecurity.com/issue/WLB-2016120133

安全的即时通信IM，除了Signal,还有其他选择吗?

https://www.trustedsec.com/december-2016/wire-messenger-new-competitor-signal/

Noriben:一款开源的小巧的恶意软件分析沙箱

https://github.com/Rurik/Noriben

Pentest Tips：

offcie文档里嵌入恶意marco对目标进行钓鱼攻击一直是比较古老而有用的手法，但是默认offcie宏是关闭的，间接影响了一些攻击效果。原来在xss攻击的时候，也有配合http basic认证实现帐号钓鱼攻击的，这种攻击手法对office文档一样适用，但是需要使用https，这是可以选择自签名证书（会有证书非信任提示）或者去letencrypt申请一个个人证书使用(可以避免自签名证书的提示)。申请方法可以参考:

https://www.pentestgeek.com/phishing/setting-up-an-ssl-certificate-from-letsencrypt-org

本文由adlab_mickey原创发布

转载，请参考转载声明，注明出处： https://www.anquanke.com/post/id/85197

安全客 - 有思想的安全新媒体

分享到：

安全资讯

0赞

收藏

adlab_mickey

分享到：

发表评论

这个人太懒了，签名都懒得写一个

文章
135

粉丝
0

TA的文章

【知识】12月29日 - 每日安全知识热点
2016-12-29 10:44:58
【知识】12月28日 - 每日安全知识热点
2016-12-28 10:23:57
【知识】12月27日 - 每日安全知识热点
2016-12-27 06:06:43
【知识】12月26日 - 每日安全知识热点
2016-12-26 09:27:31
【知识】12月25日 - 每日安全知识热点
2016-12-25 13:19:11

相关文章

360智探手机取证分析系统发布，全球首发安卓15通用提权取证“利器”
2024-11-14 15:31:58
谷歌云2025年网络安全预测：人工智能、地缘政治和网络犯罪成为焦点
2024-11-14 15:06:10
债务减免公司遭遇数据泄露 150 万客户信息遭泄露
2024-11-14 14:56:02
即买即用，全自动安全运营体检，有360 BAS就够了
2024-11-13 14:46:03
专家表示，特朗普的加密货币复兴计划可能会加速拉丁美洲对加密货币的采用。
2024-11-13 14:22:50
人工智能公司Genius Group在“比特币优先”财政策略后股价飙升66%
2024-11-13 10:58:02
OpenAI 的下一代模型遭遇性能瓶颈：报告
2024-11-13 10:06:21

热门推荐

文章目录

安全客

商务合作

内容需知

投稿须知
转载须知
官网QQ群：568681302

合作单位

Copyright © 北京奇虎科技有限公司三六零数字安全科技集团有限公司安全客 All Rights Reserved 京ICP备08010314号-66