360网络安全周报第187期

【缺陷周话】第11期：释放后使用（UAF）

漏洞分析

代码审计

UAF

代码安全

代码审计是使用静态分析发现源代码中安全缺陷的方法，能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题，防患于未然，已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

奇安信代码卫士 2018-11-26 15:29:58

222285次阅读 1

“丝绸之路”聘请的杀手在温哥华被捕

暗网

丝绸之路

大概在几周之前，加拿大警方逮捕了一名嫌疑犯，而警方认为这个人就是传说中的“redandwhite”，也就是臭名昭著的暗网毒品市场——丝绸之路的创建者。

WisFree 2018-11-26 11:16:15

248016次阅读 10

【缺陷周话】第11期：释放后使用（UAF）

代码审计是使用静态分析发现源代码中安全缺陷的方法，能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题，防患于未然，已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

奇安信代码卫士 2018-11-26 15:29:58

222285次阅读 1

11月27日每日安全热点 - FBI建了一个伪造联邦快递网站来抓犯罪分子

FBI建立了一个虚假的联邦快递网站来抓捕犯罪分子；窃听风云：扒掉你的最后一条“胖次”；专家发现新的Linux下的采矿病毒；绕过和禁用SSL Pinning在Android上实现中间人攻击；利用CPU缓存侧信道攻击在JavaScript中监视浏览器窗口。

360CERT热点播报 2018-11-27 09:30:20

160386次阅读

千万下载量开源软件托管给陌生人植入恶意代码窃取用户密币

Javascript

Github

2018年11月21日，名为 FallingSnow的用户在知名JavaScript应用库event-stream在github Issuse中发布了针对植入的恶意代码的疑问，表示event-stream中存在用于窃取用户数字钱包的恶意代码。

360CERT热点播报 2018-11-27 14:47:33

240289次阅读 1

指尖博弈——FBI竟建立虚假联邦快递网站？！

安全资讯

FBI

为了找出针对企业进行勒索的网络犯罪分子，联邦调查局近期创建了一个虚假的FedEx网站，并在其中部署了具有陷阱的“恶意”Word文件，从而获取诈骗者的IP地址。

P!chu 2018-11-27 15:14:54

194758次阅读

11月28日每日安全热点 - AI与未来战争：美开发军事自主系统的诸多隐患

AI与未来战争：美开发军事自主系统的诸多隐患；据路透社报道，尽管面临来自澳大利亚、美国和日本的压力，华为仍将继续建设连接巴布亚新几内亚的海底电缆网络；基于生成式对抗网络的安全隐写术；NIST关键基础设施网络安全框架。

360CERT热点播报 2018-11-28 10:00:58

172315次阅读

11月29日每日安全热点 - ElasticSearch暴露5700万美国公民个人数据

ElasticSearch暴露了超过5700万美国公民的个人数据；Urban Massage应用程序泄露30万客户的数据；Pwning eBay-看白帽子如何获取eBay日本站点源码；使用多种混淆方法进行旁路检测的技术绕过检测。

360CERT热点播报 2018-11-29 09:39:44

189438次阅读 2

CVE-2018-17612：没想到吧？买个耳机也有潜在的安全风险

中间人攻击

SSL

证书

Sennheiser耳机是一款德系耳机，是世界四大耳机品牌之一。在Sennheiser用户安装HeadSetup软件时，几乎无人得知该软件将根证书安装到了受信任的根CA证书存储中，并且更糟糕的是该软件还安装了不安全的证书加密私钥。

呐，你的花花 2018-11-29 15:25:11

270986次阅读 3

安恒会议网络安保安全态势数据浅谈

安全报告

安全态势

攻击数据

此为安恒在几次会议网络安保期间总结的攻击态势数据，针对不同种攻击数据分类梳理。

安恒风暴中心 2018-11-29 16:45:16

210937次阅读 1

馅饼还是陷阱？挖矿木马套路揭秘

挖矿

加密货币

近两年市场对虚拟货币的热情，催生了繁荣的挖矿产业，也滋生了大批挖矿木马。挖矿木马通过转嫁挖矿成本实现非法利益的最大化，而中招的个人用户则要承担挖矿计算带来的经济损失。360总结了几种个人用户最易中招的挖矿陷阱及应对措施。

360成都安全响应中心 2018-11-29 17:14:18

291538次阅读 9

11月30日每日安全热点 - 戴尔数据泄露强制重置密码但如今才披露

戴尔遭遇数据泄露事件，强制重置客户密码（但现在才披露事件原因）；印度警察侦破一个国际计算机病毒诈骗案；Smart Greybox Fuzzing，一个更有效率的Fuzzer；Cisco修补了在License Management Tool中的一个严重漏洞。

360CERT热点播报 2018-11-30 09:30:30

191479次阅读

2018安恒杯11月赛-Web&Crypto题解

CTF

Web安全

crypto

今天比赛繁多，在打xnuca的闲暇，做了下安恒月赛，以下是Web和Crypto的解题记录。

一叶飘零 2018-11-26 10:02:02

588542次阅读 19

2018X-nuca Neural Network详解

CTF

神经网络

Tensorflow

这道题当时没有队伍解出来，我当时想是有更多的步骤在图里面，tensorboard检测不出来，或者那些其余的操作有影响，当时有个提示是并非所有节点都在图里，最后又找了一遍pbtext的文本，看到有个节点带了很多数据，最后拿到flag。

Decade 2018-11-26 16:00:30

282881次阅读 2

Rotexy银行勒索软件的演变

恶意软件

勒索软件

Kaspersky通过研究发现，Rotexy木马是由2014年10月首次发现的短信间谍软件发展而来的。当时它被检测恶意类型为Trojan-Spy.AndroidOS.SmsThief，但后来变更为另一类型 - Trojan-Banker.AndroidOS.Rotexy。

N0th1ng 2018-11-27 10:10:57

227030次阅读

IoT 分析 | 路由器漏洞频发，Mirai 新变种来袭

近期腾讯安全云鼎实验室听风威胁感知平台监测发现一款攻击路由器的蠕虫病毒，经过分析，认定此款蠕虫是 mirai 病毒的新变种，和之前的 mirai 病毒不同，该蠕虫不仅仅通过初代 mirai 使用的 telnent 爆破进行攻击，更多通过路由器漏洞进行攻击传播。

云鼎实验室 2018-11-27 11:41:20

253421次阅读

Windows VBScript引擎远程执行代码漏洞之CVE-2018-8373分析与复现

VBScript引擎处理内存中对象的方式中存在一个远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。

四维创智 2018-11-27 15:35:07

294683次阅读

实锤案分享攻防骚对抗 | 黑产挖矿的路子居然这么野了？

恶意软件

黑产

挖矿

最近，安恒威胁情报小组在蜜罐系统中发现黑产挖矿的踪迹。黑产dalao，我一个搞网络安全的，你挖矿挖我这儿来了，是不是有点儿飘？要battle吗？

安恒风暴中心 2018-11-27 16:30:40

356850次阅读 5

部分中间件漏洞总结

漏洞分析

中间件

做看客很久了，发现一直没有比较好的中间件漏洞的总结性文章，正好近期在做这方面的学习，在此仅总结了少部分中间件常见漏洞供学习参考，后续将补充另一部分常见漏洞。如有错误还请大佬们指正。

北斗制导 2018-11-28 10:28:04

451473次阅读 13

BLE安全初探之HACKMELOCK

无线安全

蓝牙

BLE

低功耗蓝牙技术作为一种无线通信技术，其设计目标和实现与经典蓝牙技术有很大的不同，关于其的概述和技术细节可以参考文末的链接和著作。本文结合知识对协议数据包进行备注，以加深主从设备交互流程理解，进一步探索针对BLE应用的攻击。

360GearTeam 2018-11-28 14:47:34

374087次阅读

DNSpionage：针对中东的攻击活动

思科Talos团队最近发现了针对黎巴嫩和阿拉伯联合酋长国（阿联酋，UAE）的新一波攻击活动，此次攻击活动波及.gov域名以及一家私营的黎巴嫩航空公司。根据我们的研究，这个攻击组织显然精心研究了受害者的网络基础设施，尽力保持隐蔽性。

興趣使然的小胃 2018-11-28 15:51:46

284546次阅读 2

现实版解密游戏——NPM 软件包event-stream恶意篡改事件后门代码分析

2018年11月21日，名为 @FallingSnow的用户在知名JavaScript应用库event-stream的Github issuse中发布了针对植入的恶意代码的疑问I don't know what to say，表示event-stream中存在用于窃取用户数字钱包的恶意代码。

图南 2018-11-28 18:00:50

416340次阅读 4

NodeJS沙箱逃逸分析

Javascript

沙盒逃逸

Node

在这篇文章中，我们将探索解释器的内部，从而找到逃逸NodeJS沙箱的方法。

P!chu 2018-11-29 10:30:47

362427次阅读

tcpdump 4.5.1 crash 深入分析

漏洞分析

tcpdump

在看WHEREISK0SHL大牛的博客，其分析了tcpdump4.5.1 crash 的原因。跟着做了一下，发现他的可执行程序是经过stripped的，而且整个过程看的比较懵，所以自己重新实现了一下，并从源码的角度分析了该crash形成的原因。

xina1i 2018-11-29 11:30:54

283106次阅读

Linux kernel 4.20 BPF 整数溢出-堆溢出漏洞及其利用

近日，我发现Linux内核BPF模块中一个质量较高linux内核堆溢出漏洞(已向linux社区提交漏洞补丁）。我们可以100%稳定触发这个漏洞，并且可以利用它来进行本地提权获得root权限。这篇文章主要分析漏洞的成因以及基本漏洞利用方法。

ww9210 2018-11-29 16:09:20

387629次阅读 3

攻击活动目录：无约束委派及域林信任

在本文中，我会简单介绍Will在文章中提到的攻击技术（Not A Security Boundary: Breaking Forest Trusts），主要关注的是主机账户强制认证过程中所生成的安全事件。

興趣使然的小胃 2018-11-30 10:31:11

509028次阅读

解析XP版永恒之蓝中的一个Bug

本文探究永恒之蓝（及Fuzzbunch工具包）在XP系统上的应用区别与其中的技术简析。

金色的大芯子 2018-11-30 14:30:44

422568次阅读 1

第三届48小时黑客马拉松IoT破解大奖赛

IoT

48小时黑客马拉松

360sec

IoT安全人才不仅需要理论性课程的讲解，更需要实战的演练。而360安全应急响应中心就是他们最佳的演武场，48 小时黑客马拉松IoT破解大奖赛也是人才实践中最重要的一环。

360安全应急响应中心 2018-11-27 17:02:53

261338次阅读 1

第三届48小时黑客马拉松IoT破解大奖赛

IoT

48小时黑客马拉松

360sec

IoT安全人才不仅需要理论性课程的讲解，更需要实战的演练。而360安全应急响应中心就是他们最佳的演武场，48 小时黑客马拉松IoT破解大奖赛也是人才实践中最重要的一环。

360安全应急响应中心 2018-11-27 17:02:53

261338次阅读 1

精彩回顾 | 小米IoT安全峰会

活动

MIDC • 2018

小米IoT安全峰会

11月29日，MIDC • 2018 小米IoT安全峰会第二届在北京举办，AI、IoT行业的安全专家及爱好者齐聚一堂，在这万物互联新时代，共筑IoT安全生态。

小米安全中心 2018-11-29 18:00:03

387409次阅读 7

精彩回顾 | 首届Real World 国际CTF大赛圆满落幕

CTF

长亭科技

Real World CTF

史上最强国际顶尖战队集结5大洲、15个国家地区、20支战队。近5年共计获得150次CTF全球冠军。100名最强CTF选手，48小时不间断赛制。12月1-2日，中国郑州、长亭科技，首届Real World国际CTF网络安全大赛，线下总决赛，大幕开启！

长亭科技 2018-12-03 17:30:43

323923次阅读 1

活动预告 | 御风而行-协同联动

校园行

沙龙活动

御风沙龙

我们旨在培养和发现对网络安全技术有浓厚兴趣的技能型人才，宣传信息安全基础知识，让更多的在校学生，企业工作人员了解如何抵御信息泄露，如何抵御网络攻击，为更多网络安全技术爱好者提供最有力的帮助和支持。

御风信息安全沙龙 2018-11-28 17:35:08

198446次阅读 18

ASRC统一人才培养体系 | 太阳联盟运营规则详解

太阳联盟用户成长体系集阿里集团、蚂蚁、菜鸟、饿了么安全响应中心运营团队的诚意于一身，力图为白帽子搭建一个边挖洞边学习，且能阶段性收获结果的成长环境，让白帽的安全之路不仅限于挖洞，可以走的更久更长远。

ASRC 2018-11-30 17:30:13

297941次阅读 1

活动 | 第三届安胜网络安全技术峰会（2018 ASTC）即将启幕！

活动

安胜科技

ASTC网络安全技术峰会

2019年的脚步越来越近，安仔内心满怀期待，因为2019年1月10日，第三届安胜网络安全技术峰会（2018 ASTC）就要盛大启幕啦！

安胜ANSCEN 2018-11-30 18:00:58

296524次阅读 1

安全资讯

安全知识

安全活动