360网络安全周报第261期

安全资讯

深X服漏洞的启示;Exabeam研究表明:在攻防演练中有六成蓝队难以阻止红队的进攻;通达OA 多个高危漏洞。
继党妹之后,又一Up主歪果仁研究协会遭黑客勒索;某信服EDR终端检测响应平台源码泄露,网友:“杀开发祭天吧”
根据Rite Aid公司一份关于面部识别程序的秘密报告显示,仅仅禁止政府滥用该技术还远远不够。
红薯刚种下,就得挖出来了?
AI公司 Cense 泄漏250万敏感医疗记录数据;邮轮运营商 Carnival Corporation 遭受勒索攻击;TeamTNT: 窃取 AWS 凭证的恶意僵尸网络。
美国葡萄酒巨头遭受网络攻击,被盗窃1TB数据;伦敦丽兹酒店客户因数据泄露而遭受电话诈骗;全球最大嘉年华邮轮集团遭勒索软件攻击
2020年08月18日, 360CERT监测发现 Apache Shiro 发布了 Apahce Shiro 权限绕过 的风险通告,该漏洞编号为 CVE-2020-13933,漏洞等级:高危,漏洞评分:8.0。
如果想检查自己的信息有没有被公开,你可以在数据泄露监控服务网站“Am I Breached(我的账户被入侵了吗)”上搜索自己的邮箱,看看能不能在暗网上找到它的记录。
深信服edr控制端存在大量RCE漏洞;冰蝎3.0 流量特征分析 附特征;记一次有趣的APP反编译的过程。
网络世界需要安全作为基石,安全基石需要指导性安全理念,指导性理念需要新网络安全框架。
本周收录安全事件26项,话题集中在勒索、网络攻击方面,涉及的厂商有:Google、Amazon、TeamViewer、Microsoft等。
Docker 禁止被列入美国“实体名单”的国家、企业、个人使用;朝鲜黑客组织袭击以色列国防工业;SANS分享有关导致其数据泄露的攻击的详细信息。
护网自动化脚本;IoT-PT:渗透物联网设备的虚拟环境;CVE-2020-1571 Windows安装程序特权提升。
Docker 最新《服务条款》2020年8月13日已生效。
美国德州男子因黑客攻击大型科技公司而被判入狱57个月;APT组织Lazarus攻击以色列的数十个组织机构。

安全知识

常规的渗透测试流程一般为以下几个过程:目标确认、信息收集、漏洞发现、漏洞利用、权限维持内网渗透、目标获取痕迹清理、编写文档输出报告。
由于工作原因一直都是网络空间搜索引擎重度用户,包括Shodan/ZoomEye/Censys/Fofa等平台都有过使用经验,甚至自己团队也尝试开发过类似平台。
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
本系列文章将简单介绍 Go 语言二进制文件逆向姿势的发展历史,以及几个典型的恶意程序家族。
2020年8月13日,Apache官方发布了一则公告,该公告称Apache Struts2使用某些标签时,当标签属性值使用了%{skillName}并且skillName的值用户可以控制,就会造成OGNL表达式执行。
当发生网络安全事件时,工控影响以及破坏力巨大。针对于工控设备的安全研究分析势在必行。工控系统的安全研究分析势在必行。
朋友圈流传“新冠疫苗上市”消息,竟然还明码标价;国家互联网应急中心:网络黑产打击取得阶段性成果;智能门锁安全漏洞使黑客能够完全访问Wi-Fi网络。
本文从以太坊源码的角度分析EVM底层是如何处理执行智能合约字节码的,并简要分析短地址攻击的原理。
2020年5月,卡巴斯基成功防御了Internet Explorer恶意脚本对某家韩国企业的攻击。经过进一步分析发现,该工具使用了以前未知的完整利用链,其中包括两个0-day漏洞:Internet Explorer远程代码执行漏洞、Windows特权提升漏洞。
作为参考,P0的问题报告为2016,Firefox的问题报告为1618911。Firefox定义了自己的沙箱配置文件。撰写这篇文章时,content sandbox(内容沙箱)被定义为level 5,因此我将继续介绍L5,而不是GPU沙箱。
sctf2020 pysandbox 1&2 分析。
在日常刷twitter时,发现黑鸟大佬发了一个Bitter的样本md5。由于笔者之前也大概的看过bitter的相关样本,想着这个可能是新版本的bitter,于是下载回来分析一下。
Redis数据库安全性问题对于安全测试人员来说再熟悉不过了,这里将针对该数据库做一个基本的介绍和多维角度场景下的安全分析与利用探索。
设备简介:5500NAC 是一个自动化的逻辑控制器,主要应用在楼宇控制系统,配备WEB界面以及cubs/MODBUS/Bacnet通信协议。
继上一篇讨论了JSP的各种表达式和反射方法后,这篇我们继续深入我们的讨论,开始JSP Webshell的下半篇的讨论。
近日,恒安嘉新暗影安全实验室安全员发现一款名为“大发棋牌”的应用程序涉及“黄赌骗”行为,安全研究人员第一时间进行了研究分析。
CVE-2020-0674是被APT组织Darkhotel所利用的一个漏洞,完整的APT分析可以阅读360 核心安全技术博客上的一篇文章。
随着黑灰产行业成长的“集团”化,人员分工的“链接”化,攻防对抗将是安全行业与黑灰产“企业”不断厮杀成长的一场持久战。
在寻找安全漏洞时,对未知资产和隐蔽站点的搜集通常最终会让人舍本逐末。
在之前的学习中我们学会了利用angr符号化寄存器、栈上的值、内存、malloc开辟的动态内存和文件系统,感受到了angr强大的仿真系统,在CTF中题目的简单利用,接下来我们要学习angr的更多的高级用法。
攻击感知是指安全系统对发生的攻击具有自我意识。对云和网络基础设施的更频繁和更激烈的攻击正在将安全系统推向极限。
目前很多大型厂商都选择使用Java进行Web项目的开发,近年来随着各种JAVA指定环境RCE漏洞的出现,Java Web的安全逐渐被人们所重视,与漏洞相关的还有用于后期维持权限的Webshell。
WebSphere 是 IBM 的软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变 Web 应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施,如服务器、服务和工具。
关于蓝方防守的文章已经很多了,作为参与了2年护网的甲方,总结了一些防御的基本要素,简单明了,抛砖引玉,给大家参考。
网络博彩就好似泥沼,一旦沾染就让人愈陷愈深,不法分子充分利用人们通过博彩下注、以小博大获得财富的心理,编造各种理由一步步诱导充值,结果必然血本无归。
前几天,在油管上看到一个Goolge Search XSS的视频,感觉还是非常震惊的。都9102年了,竟然还能在Google首页找到XSS?
可能有些地方写的不够好, 望各位师傅见谅 指正。
Microsoft Outlook使用S/MIME协议对邮件内容加密,该过程基于公钥加密。
前些天刚刚学完常见对称加密算法原理,故找来一勒索病毒练手。其中如有不当之处,望读者指正,笔者感激不尽。
开源的域名收集工具有很多,本文会从代码的角度去看各类开源的域名收集工具的技术特点,以及各有哪些优缺点,来帮助大家,在合适的时候选择合适的利用工具。

安全活动

在当今复杂的安全形势下,网络安全建设愈发关注实战和响应能力,如何高效地落地安全运营并对安全事件应急响应已然成为近年来最热门的话题。
继去年七夕撩妹秘籍“网安男士脱单指南”后又一神作——“七夕节网安男孩自我保护指南”。含文末交友福利:“网安爱情QA问答”,欢迎来撩~
皓月当空,心在一起。ASRC的中秋月饼礼盒已经准备好啦!
遇见即是上上签,表白网络安全守卫者。58&猪八戒&中通SRC七夕专属活动。
疫情流量之下,在线新经济企业如何落地自身的网络安全建设?8月《产业安全大咖说》携手6位大咖,为你共同揭晓答案。
这个七夕,PWSRC携手碧瑶给大家送礼物啦~
DDCTF是滴滴针对国内高校学生举办的信息安全竞技赛,是专属校园极客的年轻战场。
本届互联网安全城市巡回赛全程采用线上云端赛,以站点为单位对各SRC进行安全测试。共有600余名精英白帽报名参加了为期近两个月的线上赛。
本届GACTF是由XCTF联赛的合作单位星盟安全团队组织,由赛宁网安提供技术支持。作为第六届XCTF国际联赛的分站赛,本次比赛将采用在线网络安全夺旗挑战赛的形式,面向全球开放。
本次赛事吸引了全省60所高校254支队伍近800人报名参赛,赛事规模、参赛队伍、参赛人数均创下历届之最。
2020线上中国国际智能产业博览会首届“钓鱼城杯”国际网络安全创新大赛战鼓即将擂响,大赛将于8月14日 - 8月25日正式开启线上报名。
小米智能生活安全守护计划针对小米系列智能产品中可能存在的安全隐患,邀请广大网络安全专家、白帽团队、电子工程师、爱好者对设备进行安全测试,最大程度发现未知安全风险并对结果重金奖励。
七夕有礼,新一轮线上挖洞福利活动来啦~