360网络安全周报第155期

安全资讯

研究人员警告称,热门在线调查工具 LimeSurvey 中存在两个漏洞,可遭远程工具用于执行恶意代码并在和用户交互很少或无需用户交互的情况下控制 web 服务器。
CVE-2018-8778是一个缓冲区整数溢出,由String#unpack触发。在本文中,我们将深入探讨这个漏洞,展示如何利用漏洞以及如何防护漏洞。
我打得过伏地魔,斗得过LYB,没想到最终却输在他的手下。
8700万名Facebook用户的个人信息未经允许而被共享。近日,Facebook首席执行官扎克伯格就此接受美国国会听证,再度引发热议
为何尾号666、888、999的靓号车牌拼了老命也抢不到?难道选号有什么猫腻?你想不到的是,“黑客”入侵互联网预选号牌系统,就能把各种靓号车牌“秒杀”了,然后以数万元不等的价格卖给车主,非法牟取暴利。
美联社报道称,美国政府首次公开证实称,华盛顿特区存在可遭外国间谍和犯罪分子用于追踪个人手机并拦截通话和信息的恶意设备。
勒索软件攻击的数量一直都在增加,而一种新型的加密勒索即敲诈攻击的数量也在增加。Palo Alto Networks 公司的美洲首席安全官 Paul Calatayud 指出,黑客攻陷照片、聊天和邮件内容并且索要“封口费”。

安全知识

前几天pwnhub的一道新题全宇宙最最简单的PHP博客系统,带来了不少time injection的新思路,今天写这篇文章研究一下
在很久以前,人们经常使用a字符让扬声器发出非常刺耳的蜂鸣声(beep)。这有点烦人,特别是当我们想精心设计8bit之类的音乐时更讨厌出现这种情况。
一旦新的漏洞发布,我们会对其进行分类并确定我们的平台和客户可能受到的影响,在此过程中分析了以下Ruby漏洞。
FortiGuard实验室最近捕获到了借助Microsoft Word文档传播的新款恶意软件样本,经过快速研究,我发现这是Agent Tesla间谍软件的一款新型变种。去年6月份时我曾经分析过这种间谍软件的另一个样本,发表过一篇分析文章。
该靶机原本是某个在线CTF平台的解题靶机,国外大神不知使用什么姿势把OVA发布在了某平台上,被本菜下载来了。通过介绍得知本靶机以拿到/root/root.txt文件为完成。
近年,依托大数据、人工智能、区块链等先进的计算机技术的发展,金融服务已经步入3.0 时代。但随着金融科技日渐成为金融产品的重要支撑手段,攻击者也在不断丰富其攻击目标和攻击手段,以图提升自身的变现能力。
2018年4月10日Spring再次发布安全公告,Spring框架中存在两个漏洞:Spring Data Commons组件远程代码执行漏洞(CVE-2018-1273)和Spring Data Commons组件拒绝服务漏洞(CVE-2018-1274)。
在该文章中,讨论了一个名为“Get-InjectedThread”的工具,该工具是一个PowerShell脚本,能够列举当前正在运行的进程,检测并显示可能已经被进程注入的可疑进程。这一工具可以在GitHub下载。
网络上的资源对我们来说都是公开的,为了整合网络上的各种资源,网络爬虫也就应运而生。现在爬虫的工具,方法及各种语言的库越来越多,在爬虫与反爬虫中也是在斗智斗勇当中。我们这篇文章主要介绍下Headless Chrome在爬虫方面的应用。
对于一个成本12美元的域名,我能使它在Google中搜索亚马逊、沃尔玛等关键字的结果中排名靠前。
本文主要进行了FUZE卡片的安全性研究,该卡片支持蓝牙,支持重编程。Fuze卡片只有一张普通信用卡的大小,却在致力做到“将你的整个钱包集于一身”。
APT攻击(Advanced Persistent Threat,高级持续性威胁)是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。
我们经常会听到HTTP客户端(如Web浏览器)被恶意网页内容利用的漏洞,这里没有什么新奇的。但是如果FTP客户端本身存在可被利用的漏洞? FTP客户端被其连接到的恶意服务器锁定。本文将展示一个有趣的路径遍历漏洞。
还记得2016年爆发的“寄生灵”手机病毒吗?——那个贴着“替换系统文件”、“获取手机Root权限”、“恶意推广色情扣费软件”、“同时感染多个病毒”等标签的感染量超过百万的超级病毒,用户一旦被感染,病毒将私自发送扣费短信造成资费的损失,频繁推送广告影响手机的正常使用。
本报告由360云影实验室编写发布,主要分析Gh0st/大灰狼远控木马的通讯协议和其源代码中关于通讯协议实现的细节,以及对Gh0st/大灰狼通讯实现从自身安全性,实现的合理性上给出评价,力图在远控木马攻防的实践上提供一些参考方向。

安全活动

360天马安全团队高级安全研究员杨芸菲为大家带来精彩的技术直播【拒绝成为免费劳动力:检测含有挖矿脚本的WiFi热点】,一起来复习功课吧~
安全客2018季刊—第1季再度上线,优质的技术干货和好玩的花椒直播已经整装待发,活动精彩纷呈等你一起参与哟!
巴比特将于四月十四日举办【Chainge】技术沙龙第七期——区块链技术的安全隐患。本次活动邀请了火币CTO程显峰、比特派合伙人王超、慢雾安全团队海贼王、Keywolf、 imToken首席安全官Blue、币派CEO胡园泉来为大家分享,欢迎感兴趣的开发者参加~