【知识】12月23日 - 每日安全知识热点

阅读量    32048 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

http://p6.qhimg.com/t017313015b51e6034e.png


热点概要:优酷用户账号密码疑似泄露、Docker容器的内部细节、在低成本的家庭路由器上安装OpenWrt(或WiFi Pineapple)、ZeroNights 2016安全会议的所有PPT、恶意软件常常使用的传播技术、CrowdStrike报告揭示了FANCY BEAR黑客团队与俄罗斯军事情报局GRU之间的新关系


国内热词(以下内容部分摘自http://www.solidot.org/):


苹果推迟应用必须启用HTTPS的期限

德国将扩大CCTV监控

阿里巴巴再次被列入假货恶名市场名单

资讯类:


火狐扩展其沙盒安全功能

https://www.bleepingcomputer.com/news/software/firefox-to-expand-sandbox-security-feature/

加密后门究竟是违反美国国家利益,还是保障公民个人密码和经济繁荣,美立法者有不同的解释

http://www.zdnet.com/article/encryption-backdoors-are-against-us-national-interest-say-lawmakers/

美国警察花百万美金购买以色列的电话破解技术

http://motherboard.vice.com/read/us-state-police-have-spent-millions-on-israeli-phone-cracking-tech-cellebrite

数据库泄露类:


媒体报道优酷用户账号密码泄露

http://tech.sina.com.cn/i/2016-12-22/doc-ifxyxusa4806194.shtml

技术类:


一款和KALI竞争的LINUX渗透工具发行版BlackArch,包含了1600个黑客工具

http://www.techworm.net/2016/12/new-blackarch-linux-version-released-with1600-hacking-tools.html

Exim 4.69-4.87 的隐私信息泄露漏洞

http://seclists.org/oss-sec/2016/q4/693

想合法的练习黑客技术吗?这15个在线站点可以帮助你

http://list.ly/list/euz-15-vulnerable-sites-to-legally-practice-your-hacking-skills-2016-update

针对WINDOWS卷影副本的取证技术

https://medium.com/@mbromileyDFIR/windows-wednesday-volume-shadow-copies-d20b60997c22

恶意软件常常使用的传播技术

https://www.virusbulletin.com/blog/2016/december/paper-spreading-techniques-used-malware/

移动银行木马现在加密超过2000个APP的数据

https://www.scmagazine.com/mobile-banking-trojan-now-has-encryption-and-is-targeting-over-2000-apps/article/580291/

配置metasploits数据库的方法

http://securityblog.gr/4063/setup-metasploit-database/

[local] – MacOS < 10.12.2 / iOS < 10.2 Kernel -_kernelrpc_mach_port_insert_right_trap Use-After-Free

https://www.exploit-db.com/exploits/40956/

CrowdStrike报告揭示了FANCY BEAR黑客团队与俄罗斯军事情报局GRU之间的新关系

https://www.crowdstrike.com/blog/danger-close-fancy-bear-tracking-ukrainian-field-artillery-units/

Steganalysis, the Counterpart of Steganography

https://www.trustwave.com/Resources/SpiderLabs-Blog/Steganalysis,-the-Counterpart-of-Steganography/

在虚拟环境中分析随机数生成

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/ZufallinVMS/Randomness-in-VMs.pdf

CIRCL出的,分析信息泄露的开源框架AIL-framework

https://github.com/CIRCL/AIL-framework

rootkit基础:从SYSCALL 到 HOOK

https://d0hnuts.com/2016/12/21/basics-of-making-a-rootkit-from-syscall-to-hook/

设计和构建自定义email ids

https://eng.uber.com/custom-email-ids/

UXSS on Microsoft Edge – Adventures in a Domainless World

http://paper.seebug.org/143/

fcn[free connect]是一款傻瓜式的一键接入私有网络的工具

https://github.com/boywhp/fcn

WeCenter 3.1.9 Stored XSS Vulnerability

https://www.n0tr00t.com/2016/12/22/WeCenter-319-Stored-XSS-Vuln.html

恶意软件分析第二部分:在快捷方式中插入恶意脚本

https://www.phrozensoft.com/2016/12/shortcuts-as-entry-points-for-malware-poc-part-2-19

#ZeroNights 2016安全会议的所有PPT

https://2016.zeronights.org/conference-materials/presentations/

在低成本的家庭路由器上安装OpenWrt(或WiFi Pineapple)

https://medium.com/@tomac/install-openwrt-or-pine-apple-on-low-cost-wifi-router-67cbd26a1a15#.hiqijjmrk

Docker容器的内部细节

http://docker-saigon.github.io/post/Docker-Internals/

Pentest Tips:


各种脚本语言不同版本一句话开启HTTP服务器的总结

https://gist.githubusercontent.com/willurd/5720255/raw/78024c5e0c62eda0df2aa7c6c8191e99e338702d/web-servers.md

最常用的还是下面这3个:

python -m SimpleHTTPServer 8000
php -S 127.0.0.1:8000
busybox httpd -f -p 8000

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多