360网络安全周报第185期
安全资讯
Nginx开发人员发布了安全更新,以解决影响nginx Web服务器的多个拒绝服务(DoS)漏洞;VirtualBox VMSVGA虚拟机逃逸;用不受信任数据的反序列化绕过Microsoft XOML工作流保护机制;最近修补的Adobe ColdFusion漏洞被用于APT。

247530次阅读
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
香港航空公司遭受攻击,940万名乘客的个人数据被黑客窃取;WordPress GDPR 插件漏洞在野外被利用;在Office文档视频中插入恶意URL;CISCO ASA安全产品拒绝服务漏洞(CVE-2018-15454);恶意软件通过Windows Installer进行隐藏。

241416次阅读
在最近由FortiGuard Labs捕获的众多恶意软件样本中,我们发现了一个新的TrickBot变种,它携带有一个新的模块——pwgrab,试图从多款浏览器及应用程序中窃取凭证、自动填充数据和历史记录等。

379011次阅读
近期漏洞总结:如何攻破90%的企业网络;谷歌云遭遇BGP劫持攻击;微软发布了2018 年 11 月安全更新;Adobe使用公开可用的PoC修复Acrobat和Reader缺陷;2018年10月最受欢迎的恶意软件:远程访问特洛伊木马首次入选十大威胁。

238842次阅读
2018年11月,白帽汇安全研究院发现公网上出现了在9月份公布的Adobe ColdFusion服务器任意文件上传漏洞(CVE-2018-15961)的实际利用痕迹,攻击者利用该漏洞上传jsp语言的菜刀脚本呢,从而达到远程命令执行。
最近啊,国内刮起了一股“锦鲤”妖风,这股抽奖的“圆梦”之风越刮越大,广大网民每次都在嘴上说我是“中奖绝缘体”,但身体很诚实必定会转发参加。
在Android操作系统的系统广播中,可以暴露出WiFi信号强度信息(RSSI),设备上的任何应用程序都可以在不需要额外权限的前提下获取此信息。一些恶意应用程序可能会将此信息用于室内定位,从而根据附近的WiFi路由器来定位或跟踪用户。

322382次阅读
撞库视角看暗网数据的流向;0day漏洞CVE-2018-8589技术细节;TrickBot木马成为对企业的最大威胁;iPhone X, Galaxy S9, Xiaomi在Pwn2Own上被攻破;研究人员再次发现多个Meltdown和Spectre变种漏洞。

205675次阅读
Linux内核中的do_get_mempolicy函数存在UAF漏洞;一种新的存在于Intel,AMD,Arm CPU芯片上的数据泄露漏洞;Google Play上的虚假数字货币钱包盗取用户凭据并伪装成合法钱包;Pwn2Own - 破解iPhone X获超过$100,000奖励。

236218次阅读
在对目标进行渗透测试的时候,通常情况下,我们首先获得的是一台web服务器的webshell或者反弹shell,如果权限比较低,则需要进行权限提升;后续需要对系统进行全面的分析,搞清楚系统的用途。
安全知识
这次是内核中一个 uaf 漏洞的学习,刚好看到 wjllz 师傅的在看雪上的 windows 内核系列文章,就也一起分析了 cve-2015-0057 这个洞。

327243次阅读
FortiGuard实验室最近检测到了新版本的Kraken Cryptor勒索软件,虽然这款变种配置文件中删除了beta标签,但依然存在许多bug,并且开发者仍然在不断修改该软件的基本功能。
这道题目不同以往的CTF题目,出得非常新颖,用到了一个glibc的漏洞,CVE–2018-1000001,题目质量非常好(以前看到了这个CVE也想用来出题…..
阿里云安全团队从今年5月份监测到一BOT家族,其样本改写自互联网公开渠道源码,在互联网上广泛传播,造成了极大的危害,云安全团队对该类样本做了分析、聚类、溯源,在此我们将该类样本命名为QBotVariant。

234442次阅读
在F5实验室的首份年度综合《应用程序保护报告》中,我们提供了一个应用程序复杂性的实践模型,并探索了应用程序是如何遭到攻击的,以及提供了用于赢得这场战斗的实践措施。

489379次阅读
刚开始接触恶意代码分析,正所谓光说不练假把式,所以在网上找了一个恶意样本进行分析练习,于此记录一下分析过程。
大家好!爱写靶机渗透文章的我又来了,该靶机被设计者定义为初级-中级,最后小弟完成整个渗透的时候也的确是比较简单的;但是中间设计者设计了一个坑,小弟在那里被困了好几天,都塌喵的开始怀疑人生了。
安全活动
本次比赛采用鹏城实验室自主研发的网络靶场作为比赛平台。网络靶场是网络攻防演练和网络新技术评测的重要基础设施,用以提高网络和信息系统的稳定性、安全性和性能。

251305次阅读
LCTF 2018 由 L-Team 主办,Pwnhub 独家赞助。本次比赛采取经典的 Capture The Flag 的形式,包含 Web 、 Pwn 、Reverse 、 Crypto 、Misc 等多种题目类型。

246977次阅读
白帽提交漏洞之后,将不同的漏洞进行合成,将会随机爆出额外奖励!漏洞积分越高,爆出高含金量奖品概率越大!

201664次阅读
为促进技术交流和学习,研讨行业新技术、新经验、新成果,安胜科技拟于2019年1月在厦门举办“第三届 安胜网络安全技术峰会”

336449次阅读
《Web安全工程师》线下就业班课程是由360安全研究院、360信息安全部等众多核心安全部门结合企业实际用人需求研发的网络安全课程。
双十一刚过去,大家的钱包还好吗?贴心的陌陌SRC为大家带来了福利活动,专治你的不开心和贫穷