7月18日-每日安全知识热点

2016-07-18 09:59 来源:易采站长站 作者:360安全播报-360安全 点击: 评论:

A-A+

原标题:7月18日-每日安全知识热点

新鲜资讯,权威技术文章早抵达。今日热点中您感兴趣的内容请及时联系我们,360安全播报将免费为您翻译整理。

技术类:

https://www.arneswinnen.net/2016/07/how-i-could-steal-money-from-instagram-google-and-microsoft/

我如何从Instagram, Google 以及 Microsoft偷钱的 [主要是利用这些服务在注册电话认证时,拨打收费服务]

https://thelasttechie.com/2016/07/17/understanding-whatsapp-encryption/

深入浅出whatsapp加密通话机制

http://www.blackhillsinfosec.com/?p=5075

在linux下如何连接Juniper的双因子验证的VPN

https://github.com/biggiesmallsAG/nightHawkResponse

nightHawkResponse:夜鹰是一款开源的事件响应取证框架

http://blog.portswigger.net/2016/07/executing-non-alphanumeric-javascript.html

执行无数字英文字母以及没有括号的javascript运行,类似的技术可以被用于配合AngularJS构造xss payload (http://blog.portswigger.net/2016/04/adapting-angularjs-payloads-to-exploit.html)

https://www.invincealabs.com/blog/2016/07/running-windows-64bit-qemu/

在QEMU模拟模式中运行windows 64bit

https://averagesecurityguy.github.io/2016/04/21/cracking-mongodb-passwords/

破解MongoDB的密码

https://hethical.io/trello-bug-bounty-the-websocket-receives-data-when-a-public-company-creates-a-team-visible-board/

Trello bug bounty:当公共公司建立一个Team可视化Board时,可以通过websocket接收数据

https://www.insinuator.net/2016/07/notes-on-hijacking-gsmgprs-connections/

针对劫持 GSM/GPRS 连接的一些记录

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10755&actp=search

CVE-2016-1280:可通过自签名的证书可以欺骗Junos的CN,这个漏洞对点对点的VPN影响大,可以让攻击者监听流量,该漏洞的新闻报道在https://threatpost.com/juniper-crypto-bug-lets-attackers-eavesdrop-on-router-switch-traffic/119319/

https://0x41.no/mr-robot-s02e01-easter-egg/

MR.ROBOT[黑客军团]第二季上映了,其中第一季影片里的IP地址访问后居然包含一个彩蛋

https://cxsecurity.com/issue/WLB-2016070137

Drupal Webform Multiple File Upload 第三方模块的远程代码执行漏洞

http://www.h4ck.guru/passwordless.html

提供一种无密码验证的方法

https://sourceware.org/glibc/wiki/MallocInternals

malloc的内部原理

http://www.slideshare.net/madhuakula/node-js-reverse-shell

讲解node.js不安全编码导致反弹SHELL的PPT,如果想实践测试,可以到https://github.com/appsecco/vulnerable-apps下载漏洞程序

https://github.com/BorjaMerino/Pazuzu

通过反射DLL在内存中运行二进制文件

https://www.youtube.com/watch?v=qrTShcOW8kM&list=PLpr-xdpM8wG-Kf1_BOnT2LFZU8_SXfpKL

OWASP AppSecEU 16 会议的视频

https://github.com/fgrimme/Matroschka

Matroschka:python编写的隐写工具,可以在图片中隐藏文字或者图片

https://github.com/enddo/HatDBG

使用powershell编写的最小的Win32 Debugger工具

http://www.openwall.com/lists/owl-dev/2016/07/16/1

http://www.openwall.com/lists/owl-dev/2016/07/16/4

pam_passwdqc 中的非初始化指针使用BUG

https://framework.zend.com/security/advisory/ZF2016-02

当使用Zend_Db_Select时,潜在的ORDER和GROUP语句SQL注入

http://www.kalitut.com/2015/11/hackode-android-penetration-tester.html

Hackode:一款android下多功能的渗透工具集

http://repository.tudelft.nl/islandora/object/uuid:c71c85bc-d742-449b-88e7-33e172392ec2?collection=education

使用系统调用(system calls)检测恶意行为

https://hshrzd.wordpress.com/2016/07/15/unpacking-nsis-based-crypter-part-2/

解包基于NSIS-based Crypter的加壳,第二部分

https://isc.sans.edu/forums/diary/Python+Malware+Part+3/21265/

python恶意软件分析第三部分

https://www.youtube.com/watch?v=NySUxsWxaTo&feature=youtu.be

恶意软件分析:使用HxD动态解包Flash恶意软件

https://marcograss.github.io/security/cve/2016/07/16/cve-2016-6234-to-6238-multiple-dropbox-lepton-memory-corruptions.html

cve-2016-6234:dropbox lepton的多个内存损坏漏洞

https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Get-Handles.ps1

通过NtQuerySystemInformation监听打开的进程句柄

http://arizona.openrepository.com/arizona/bitstream/10150/613135/1/azu_etd_14572_sip1_m.pdf

自动反混淆和逆向混淆的代码

https://github.com/gophercon/2016-talks

gophercon 2016安全会议的所有PPT

https://www.youtube.com/watch?v=KeQVrYQ5Bzg

来自BSideds会议的视频,在域环境中保护你的浏览器秘密

资讯类:

http://news.softpedia.com/news/maxthon-browser-collects-sensitive-data-even-if-users-opt-out-506327.shtml

maxthon浏览器收集用户信息即使用户选择退出了

http://news.softpedia.com/news/misconfigured-server-exposes-alarm-system-details-for-oklahoma-bank-and-dps-506291.shtml

错误配置的服务器曝光俄克拉何马州银行的警报系统细节

http://news.softpedia.com/news/thomson-reuters-world-check-terrorist-database-goes-up-for-sale-on-the-dark-web-506357.shtml

汤森路透世界反恐检查数据库在暗网售卖

http://securityaffairs.co/wordpress/49388/data-breach/ubuntu-online-forums-hacked.html

ubuntu在线论坛因为SQL注入漏洞再次被黑

数据泄露消息:

大麦网600多万用户账号密码泄露,用户数据已被售卖。

大麦网称遭撞库39名用户被骗百余万 警方介入

【易采站长站编辑:秋军】

360区块链技术负责人:边缘计算与区块链技术结合的四大方向 360区块链技术负责人:边缘计算与区块
远日,360区块链手艺卖力人李连港暗示,边沿计较取区块链手艺能够很好的分离,有四年夜标的目的: 一是数据宁静: 末端
PHP 5版年底终止安全更新 6成网站恐面临风险 PHP 5版年底终止安全更新 6成网站恐面临
图片滥觞:PHP 新浪科技讯 10月16日上午动静,据中国台湾地域媒体报导,Web科技使用现况的查询拜访公司W3Techs远日暗示,按照
西数My Cloud曝安全漏洞:攻击者可获得完整访问权限 西数My Cloud曝安全漏洞:攻击者可获得完
西部数据(Western Digital)广受欢送的My Cloud系列收集附减存储(NAS)装备,远日曝出了一个严峻的宁静破绽,招致进犯者能够完整会
金山WPS强制用户文件上传云端,或将泄露隐私数据 金山WPS强制用户文件上传云端,或将泄
中国IDC圈讯 据磅礴消息报导,湖北少沙的张师长教师远日反应,金猴子司旗下办公硬件WPS的安卓脚机APP有云文档功用,此中
苹果Safari浏览器出漏洞:可能导致iOS/macOS崩溃重启 苹果Safari浏览器出漏洞:可能导致iOS/ma
9月18日动静,据好国科技媒体ZDNet报导,宁静研讨职员远日正在开源阅读器内核WebKit中发明一个破绽。因为苹果阅读器Safari利
多种网络黑灰产作案工具曝光:不足百元如何劫持短信 多种网络黑灰产作案工具曝光:不足百
疑息盗听、薅羊毛、电疑欺骗战流量挟制互联网时期,疑息宁静变乱频收,百姓小我私家疑息是怎样被保守、流进乌灰财产链
研究称二十多款热门iOS应用向第三方发送用户数据 研究称二十多款热门iOS应用向第三方发
远日动静,一项新研讨称,包罗气候战健身逃踪东西正在内的两十多款iOS使用法式中包罗一个代码,该代码会机密取数据红利
全知科技CEO方兴:数据流动时代大数据风险是大数据安全的核心 全知科技CEO方兴:数据流动时代大数据
本文做者│刘进修 Fiyinghare 滴滴出止开理的操纵了年夜数据,为公家的出止供给便利的效劳。而操纵年夜数据为公家战司机等
360创始人周鸿祎:考虑推出“360辣椒水” 女性出门防身伴侣 360创始人周鸿祎:考虑推出“360辣椒水
9月5日动静,远日滴滴逆风车变乱激发了寡多止业的年夜佬存眷,滴滴出止已做出了宁静隐患年夜整理。如今最新动静,关于
安卓新漏洞可致设备被追踪 安卓9.0 Pie以下全中招 安卓新漏洞可致设备被追踪 安卓9.0 Pi
8月30日公布的一则动静,Nightwatch Cybersecurity发明一个新破绽,它使使用法式得以绕过权限查抄战现有的防护,会见体系播送疑