360网络安全周报第263期

安全资讯

北京时间8月31日,CertiK检测到,Github用户“1400BitcoinStolen”1400枚比特币被盗事件的代币,已开始被输送到多个不同的地址当中。
AlphaBay被认为是最大的线上毒品市场,FBI行动负责人McCabe当时表示,它的规模是Silk Road的十倍,拥有超过200000个用户和大约40000个卖家。
泄露的内容包括姓名、出生日期、性别、选民登记日期、地址、邮编、选民登记号和投票站编号。
Microsoft Defender可被用于下载恶意软件;Cerberus银行木马研究;CVE-2020-9715: AdobeReader UAF漏洞分析。
买家斥巨资10元雇用黑客攻击网店 双方共坠刑网;宇宙猞猁崛起,提高BEC欺诈行业标准。
2020年09月03日,360CERT监测发现 phpstudy 发布了 phpstudy 安全配置错误漏洞 的风险通告,该漏洞编号为 ,漏洞等级: 高危 ,漏洞评分: 7.6 。
phpstudy 自带Ngnix存在畸形解析漏洞;WordPress 文件管理器插件0day;CVE-2020-13946:Apache Cassandra RMI重新绑定漏洞通告。
北京时间8月28日,CertiK发现SushiSwap项目智能合约中存在多个安全漏洞。
2020年09月02日, 360CERT监测发现 Apache官方 发布了 Apache Cassandra RMI 重新绑定漏洞 的风险通告,该漏洞编号为 CVE-2020-13946,漏洞等级:中危,漏洞评分:6.8分。
9月1日开始,新的TLS证书的最大证书寿命将从之前的27个月(825天)更改为398天(一年多一点)。
伊朗黑客组织在地下论坛上出售服务器访问权限;数百万美国选民的详细信息在俄罗斯的黑暗网络论坛泄露。
日产汽车高管被爆雇佣黑客,攻击前董事长戈恩电子邮箱;联邦调查局称:网络恋情诈骗案金额超4.75亿美元
据《今日俄罗斯》(RT)8月25日报道,俄罗斯联邦安全会议副秘书克拉莫夫在一次采访时指出,从2016年至2019年,全球40%至75%的黑客攻击皆由美国所发起。
2020年4月21号开始,360Netlab未知威胁检测系统监测到有攻击者使用QNAP NAS设备漏洞,攻击我们的Anglerfish蜜罐节点。
CenturyLink的一个BGP路由错误已引起整个互联网出现连锁反应,导致无数与互联网连接的服务瘫痪,比如Cloudflare、AWS、Garmin、Steam、Discord和Blizzard等众多服务。
疑似摩诃草组织利用边境争端问题为诱饵针对周边地区的攻击活动分析;CVE-2019-17026:Firefox JIT漏洞,双星漏洞之一Exp。
近日,据网络安全公司Group-IB爆料称,发现一来自伊朗的境外“低技能”黑客组织,试图利用Dharma勒索软件对中国、俄罗斯、日本和印度等国家发动攻击。
本周收录安全事件33项,话题集中在恶意程序、网络攻击方面,涉及的厂商有:Apple、Tesla、LinkedIn、Amazon等。
国内大量外贸物流企业正遭受尼日利亚钓鱼组织攻击;朝鲜的BeagleBoyz团伙继续针对银行业发起攻击;MS Office恶意代码分析指南。
5G的影响、安全性以及现状;用Speakeasy模拟恶意Shellcode;CWE-1265介绍(通过嵌套调用非重入代码)。
据商务部网站,8月28日,商务部、科技部调整发布《中国禁止出口限制出口技术目录》(商务部 科技部公告2020年第38号,以下简称《目录》)。
Weblogic12c T3 协议安全漫谈;Vulnerable-AD - 创建含有漏洞的活动目录;逆向学习 fastjson 反序列化始末。

安全知识

本系列文章由3部分组成,主要介绍了在现代Web浏览器中查找和利用JavaScript引擎漏洞所涉及的技术,并评估了当前的漏洞缓解技术。
该篇文章主要讲了新版本下的io_file攻击,该种攻击手法可以实现非预期堆块的申请、释放和填充以及实现glibc2.29往上版本的srop攻击。
承接上一篇文章,上一章教程我们主要学习了angr的Hook接口的利用,这次我们把剩下的题目一网打尽。
metasploit-framework和cobalt strike(简称CS)是当前主流的两个红队评估工具.
用设备指纹需要考虑很多特性,在身份验证的需求下,准确率要求很高。广告营销在80%或90%的准确率可能就够了,但安全领域显然不行。
17年起,我们引入建立了适合内部研发的SDLC流程,在传统的研发模式下,一个需求从意向拆分到用户故事,再到开发子任务,一次迭代大多都要经过2周以上的时间。
在本文中,我们将介绍如何滥用DCOM对象,以及如何利用特定的COM对象来实现任务调度、无文件下载/执行、命令执行、在网络内部的横向移动。
设备指纹在安全上主要用来识别用户,增强认证能力。参考业界普遍实践和学术探索,我们对常见的29种方法进行了比较,用以在实践中选择。
2020-08-19, Apache Shrio发布了CVE-2020-13933的漏洞, 其等级为高,影响范围为<=1.5.3。
这是一篇会议论文,提出了针对DBMS的一种模糊测试框架SQUIRREL,效果显著优于其他的模糊器。
在渗透测试信息中我们可能需要尽可能收集域名来确定资产边界。
目前我想到的fuzz目标程序的方式大致有两种,一是直接fuzz目标主程序,找到合适的函数地址就可以进行持续性fuzz;第二种是找到主程序所使用的第三方库文件。
比赛很不错,又肝了两天,终于苟住第七名,师傅们太顶了。
在本篇文章中我将分享如何在PostgreSQL堆叠注入场景中通过CREATE FUNCTION关键字来实现命令执行的思路。
GACTF 2020 Vidar-Team Writeup。
Sophos XG firewall是英国Sophos公司的一款下一代端点保护与企业级防火墙产品。Admin Portal是其中的一个管理门户。
本篇主要是以x64系统为例对系统调用中一些功能性函数的解读和实际运用。
昨晚突然看到群里的一个消息,揭秘uniswap-defi项目漏洞-割韭菜新手法,心想还有这事?而且还是中英文介绍。
渗透测试指网络安全专业人员模拟黑客入侵方式对目标进行攻击,以此来评估目标的安全防御能力。一般分为:黑盒渗透测试、白盒渗透测试、灰盒渗透测试。
2020年8月11日,360CERT监测发现Apache官方发布了S2-060的风险通告,该漏洞编号为CVE-2019-0233,漏洞等级:中危。漏洞评分:6.8。
2020年08月13日, 360CERT监测发现Apache官方发布了Struts2远程代码执行漏洞的风险通告,该漏洞编号为CVE-2019-0230,漏洞等级:高危。漏洞评分:8.5。
强网杯四道pwn题的writeup。
通过使用自定义的CLR harness,我们可以将其调整到最适合当前场景的状态,比如可以禁用System.Management.Automation的Tracing.PSEtwLogProvider或AmsiUtils之类的功能。
由于比赛的时间和上课的时间冲突了,只抽空做了一下crypto3。
书接前文,本文详细介绍 Go 二进制文件中的数据类型信息,如何定位并解析所有数据类型定义。
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件。
本文主要针对CVE-2020-0796导致本地任意地址写进行分析。
近日,微博热搜“6000多人被网上养猫平台骗得血本无归“吸引了众多用户围观讨论,除了其中涉及的养猫平台,自2018年以来,已经出现过很多类似平台:2018年报道的涉案金额高达6亿余元、受骗人数高达10万+的爱尚养猪;2019年我们分析过的某养鸡农场。“云养殖”资金盘愈演愈热,手法百变。
未能对传入的参数进行有效验证,对读取内存的边界值控制不严格,导致超过了原有内存的2字节进行越界读取。
本文主要研究在实际的应用中如何获取mqtt信息,以及获取的信息带来的潜在风险。
这篇文章中将学习在Windows平台上发送数据到Java平台上产生的字节序问题,且学习如何处理这个问题。而这也是信息安全中的基础知识,尤其是二进制的基础知识点。
笔者之前在学习海莲花的时候,收集了不少相关的样本,在这里选了一个比较有代表性的分享给大家。主要是分析他们的一个代码实现。
作为8月份补丁的一部分,Microsoft修复了一个针对Internet Explorer 11的漏洞,特别是CVE-2020-1380。
随着区块链技术的发展,越来越多的个人及企业也开始关注区块链,而和区块链联系最为紧密的,恐怕就是金融行业了。

安全活动

聚合双方力量,探索创新发展,聚焦网络安全行业,助力企业数字化升级,一起携手开创共赢的信息安全新未来,为国家网络强国战略提供基础保障。
不变的主题,全新的议题,重量级的嘉宾分享,后疫情时代首次线下峰会!今夏不容错过的安全圈盛会即将拉开序幕!
双节来临之际,水滴SRC给大家带来了一波多重福利活动!中秋礼盒、挖洞双倍、新人首洞三倍、限时兑换周边福袋等多重福利已就位,叫上好友一起来挖洞吧!
七夕刚过,中秋将至,MMSRC带着活动走来啦~
继去年七夕撩妹秘籍“网安男士脱单指南”后又一神作——“七夕节网安男孩自我保护指南”。含文末交友福利:“网安爱情QA问答”,欢迎来撩~