【知识】12月22日 - 每日安全知识热点

阅读量    49105 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

http://p6.qhimg.com/t017313015b51e6034e.png


热点概要:如何hacking一个复杂的系统、Bottle HTTP 头注入漏洞探究、发现每个facebook用户的邮箱地址、 你必须了解的漏洞利用缓解及对抗技术、NETGEAR WNR2000路由器发现栈溢出漏洞、BurpSuite 1.7.15版发布、用于做IOT安全评估的docker平台


国内热词(以下内容部分摘自http://www.solidot.org/):


雇员起诉Google的非法保密政策

前摩门教徒发布摩门Wikileaks

埃及屏蔽加密消息应用Signal

巴诺书店的最新平板被发现预装了广升的间谍软件

资讯类:


乌克兰第二次停电,怀疑和黑客行为有关

http://thehackernews.com/2016/12/power-outage-ukraine.html

Crook 使用他的家庭IP进行网络银行欺诈,面临5年监禁

https://www.bleepingcomputer.com/news/security/crook-who-used-his-home-ip-address-for-banking-fraud-gets-5-years-in-prison/

巴基斯坦黑客通过DNS劫持GOOGLE网站

http://news.softpedia.com/news/pakistani-hackers-hijack-google-website-511187.shtml

数据库泄露类:


Ethereum(以太坊)论坛被黑,数据泄露

https://www.troyhunt.com/the-ethereum-forum-was-hacked-and-theyve-voluntarily-submitted-the-data-to-have-i-been-pwned/

技术类:


铁人下载系统代码审计

http://www.codersec.net/2016/12/%E9%93%81%E4%BA%BA%E4%B8%8B%E8%BD%BD%E7%B3%BB%E7%BB%9F%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/

Bottle HTTP 头注入漏洞探究

https://www.leavesongs.com/PENETRATION/bottle-crlf-cve-2016-9964.html

发现每个facebook用户的邮箱地址

http://www.dawgyg.com/2016/12/21/disclosing-the-primary-email-address-for-each-facebook-user/

科普 | 你必须了解的漏洞利用缓解及对抗技术

https://jaq.alibaba.com/community/art/show?articleid=678

【技术分享】逆向工具综述(上)(下)

http://bobao.360.cn/learning/detail/3303.html

http://bobao.360.cn/learning/detail/3307.html

JavaScript 引擎漏洞案例收集

https://github.com/tunz/js-vuln-db

NETGEAR WNR2000路由器发现栈溢出漏洞

https://raw.githubusercontent.com/pedrib/PoC/master/advisories/netgear-wnr2000.txt

使用树梅派实现小规模的蜜罐网络

https://www.redpill-linpro.com/sysadvent/2016/12/19/raspberry-pi-honeynet.html

新的XSSI攻击向量

https://www.hurricanelabs.com/blog/new-xssi-vector-untold-merits-of-nosniff

使用反向工程技术实现一个Linux bind shell 

https://github.com/antire-book/dont_panic

使用100行bash脚本实现一个类似docker容器的功能

https://github.com/p8952/bocker

用于做IOT安全评估的docker平台

https://github.com/tylerph3/IoTAnalysis

TheHive:一个开源的,免费的事件响应平台

https://github.com/CERT-BDF/TheHive

加固POSTGRESQL数据库辅导手册

http://www.ibm.com/developerworks/library/os-postgresecurity/

加密聊天软件signal发布android新版,支持更多的涂鸦图片,贴纸,和规避常见的网络审查

https://whispersystems.org/blog/doodles-stickers-censorship/

你一直使用ipython,也可以尝试下ptipython

https://yoongkang.com/blog/use-ptipython-a-better-python-shell/

反向工程 C++的虚函数:第一部分

https://alschwalm.com/blog/static/2016/12/17/reversing-c-virtual-functions/

Burp Suite 1.7.15 发布,支持自定义字典和精确的内容检测

http://releases.portswigger.net/2016/12/1715.html

评选出的2016年的TOP 10黑客工具

http://resources.infosecinstitute.com/top-ten-hacking-tools-of-2016/

2016年手机移动面对的10大风险

http://www.techrepublic.com/article/the-top-10-mobile-risks-of-2016/

windows版的RTL-SDR驱动现在可以下载了

http://www.rtl-sdr.com/windows-version-of-the-fully-exposed-rtl-sdr-driver-now-available/

使用RTL-SDR和流量检测软件分析868 MHZ的流量

http://www.rtl-sdr.com/wireless-analysis-of-868-mhz-traffic-with-an-rtl-sdr-and-the-traffic-detective-software/

Google Chrome: renderer->extension privesc via sync 

https://bugs.chromium.org/p/project-zero/issues/detail?id=996

使用Import API 和 Fuzzy Hashing实现恶意软件分类

http://blog.jpcert.or.jp/.s/2016/05/classifying-mal-a988.html

你认为TOR比VPN安全?有时候的网络情况不是这样的

https://medium.com/@thegrugq/tor-and-its-discontents-ef5164845908#.dok1bnh64

黑客复杂的系统

http://carnal0wnage.attackresearch.com/2016/12/hacking-complex-systems.html

使用Ubiquiti EdgeRouter, iptables 和 rrdtool实现流量计费

https://blog.no-panic.at/2016/12/03/traffic-accounting-using-ubiquiti-edgerouter-iptables-and-rrdtool/

Pentest Tips:


内网环境中,如果LINUX主机没有安装nmap,可以借助nc实现端口扫描

for i in {101..102}; do nc -vv -n -w 1 192.168.56.$i 21-25 -z; done
分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多