360网络安全周报第235期

安全资讯

近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高,影响面大。
试图利用冠状病毒热点的病毒;使得挖掘SQLi漏洞更容易的HTTP/HTTPS代理服务器和SQLMAP API包装程序。
此前,国务院办公厅印发《国家政务信息化项目建设管理办法》(以下简称《办法》),对国家政务信息系统的规划、审批、建设、共享和监管作出规定。
据安全研究人员透露,化妆品巨头-雅诗兰黛的官方服务器遭到黑客入侵,导致其未经加密保护的云数据库发生数据泄露,而服务器中则包含了数亿条客户记录以及内部日志。
瑞士公司Crypto AG被美国,德国情报机构监视工作数十年;美国DXC技术公司管理下的TastSelv Borger税务服务中存在漏洞,导致120万丹麦公民向美国跨国公司谷歌和Adobe泄露了CPR数据。
2020年2月12日,360CERT监测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,漏洞等级中危。
2020年02月11日,360CERT监测到Adobe官方例行发布了2月份产品安全更新。
2019年02月11日,微软例行发布了 2月份的安全更新。
微软周二补丁日修复了 IE 0day 和 其他98个漏洞;手机安全测试集 Cheet-Sheet;使用 AFL 和 KLEE 分析 Linux 内核。
耿爽表示,中国政府在网络安全问题上的立场是一贯的、明确的,我们历来坚决反对并依法打击一切形式的网络黑客攻
距离Windows 7停服已经快一个月了,那些仍然滞留在Win7系统的用户还好吗?
Google修补了影响Android设备的蓝牙漏洞;Emotet入侵附近的Wi-Fi网络并像蠕虫一样传播;CVE-2020-1942:Apache NiFi日志信息泄露。
在本次RSA2020创新沙盒决赛中,十家决赛入围者将分别获得3分钟的陈述机会,证明自己有资格成为本年度最具创新力、最有发展前途的新锐安全厂商。
澳大利亚的紧急呼叫服务使用AI检测心脏病发作;大规模DDoS攻击导致伊朗25%的互联网连接中断;SharePoint RCE(CVE-2020-0646)。

安全知识

本文讲述了Java RMI Registry 远程bind对象所带来的反序列化问题,包括两个level,具体见下面
最近整理了一下java sink,同样可以用于bypass waf。
在研究过程中,我发现了在Firefox浏览器中利用CSS的一种数据窃取技术,可以通过单个注入点窃取数据,这里我想与大家一起分享相关研究成果。
假期坚决不咕咕咕!!系列一中我记录了first-fit,fastbin_dup,fastbin_dup_into_stack和fastbin_dup_consolidate四个文件的三种攻击方式,那么这次就记录一下unlink叭!
Tcache Stashing Unlink Attack这个攻击名词是我第一次见到的,因此写一篇文章以记录思路。
现在iot安全已经是一个热点了,嵌入式设备固件的逆向分析也成了师傅们比较关心的一个话题。
how2heap系列几个月前更新了!!!!大事件,正好寒假时间充裕,不如把how2heap总结一遍算了,千万别咕咕咕了hhh。
​屋漏偏逢连夜雨,船迟又遇打头风。 
去年Orange Tsai在常见的SLL VPN产品中找到了一些漏洞,在阅读Orange的研究文章时,我看到有人问其他厂商是否受到影响,因此我觉得可以尝试寻找其他VPN厂商设备的漏洞。
通过前三篇文章的学习,我们了解了堆利用的基本概念和技术。本篇文章,我们将要了解堆利用中的House技术以及与off by one结合后的利用手法。
在渗透过程中,有很多 PHP 站点往往设置了disable_functions ,本文对一些常见的绕过方法的原理和使用稍做总结,顺便分享一个 Fuzz 方法,学习一下。
大家好,我是鸿鹄实验室的lengyi,团队小伙伴发来的一个靶机,说是根据红日靶机改得,让我打一下,于是便有了该文。
通常情况下,无法被binwalk轻松处理的固件都有自己的特点,本文的目标是向大家介绍几种常见的场景,提供处理这类固件的一般性方法。
在这篇文章中,我们将对近期刚刚修复sudo程序漏洞(CVE-2019-18634)进行分析,该漏洞需要在开启pwfeedback选项才能出发,一旦成功利用,攻击者将有可能实现本地提权。
错误配置如同唾手可得的果实,是攻击者一直在寻找的切入点,可能会对整个云端架构造成安全风险。
代码重用攻击的顺利进行需要两个必不可少的条件,对于代码重用攻击的防御必须立足于这两个环节,务必至少破坏其中之一,才能阻止攻击的进行。
过年期间玩了一下国外的一个 XSS GAME,收获颇丰,记录一下学习过程。本人对于 JavaScript 以及前端的理解不深,水平也不高,如果文章有疏漏之处,还请师傅们斧正。
最近在做终端安全检测,经常会遇到编译好的二进制程序,就想试试通过IDA Python来做相关的安全检测工作。
Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
这里是How2Heap学习的第三部分,Unsafe_Unlink。
在本文中,我们详细分析了GitHub上的数据泄露情况,使DevOps、工程及安全团队能够重视该问题,及早发现并解决安全风险。

安全活动

作为专业的网络安全企业,永信至诚将责任化为行动,以“安全”力量全力支援疫情防控战,启动三项举措:联合多家互联网公司发起春秋杯新春战“疫”网络安全公益赛、免费开放620+节精品在线课程、开发网络空间安全慕课课程资源聚集平台。
曾经,挖掘漏洞只是白帽黑客,守护网络安全的武器。今天,挖掘漏洞也是白帽黑客,为抗疫天使们加油的方式!
开始在家挖洞!为了保障远程办公的安全性,同时改变部分人在家吃了睡睡了吃的生活习惯,小We特别举办了本次活动
新冠肺炎来势汹汹,疫情发展牵动着亿万人民的心!危难时刻,岂曰无衣,与子同裳,DVP决定发起“疫情防控保卫战”,我们相信白帽侠客们也可以贡献一份自己的力量!