热点概要:CVE-2016-1247:debian发行版的nginx提权漏洞、将Msbuild.exe打造成键盘记录的代码、CentOS 脏牛漏洞补丁已经发布、Google SpreadSheet的CSRF漏洞和JSON劫持漏洞允许数据窃取
国内热词:
Opera 41发布,速度提升86%
物联网僵尸网络如何导致互联网陷入混乱
ZCash——真正匿名的数字货币
Google Fiber部门裁掉9%的雇员
BAT等同意与政府分享数据引发隐私担忧
资讯类:
通过移动电话公司网站泄露的固件来黑固件
http://thehackernews.com/2016/10/phone-hacking-software.html
Pwn2Own 2016 :通过黑Nexus 6p 和 iPhone 6S,KeenTeam赢了$215k美金
http://securityaffairs.co/wordpress/52723/hacking/pwn2own-2016.html
黑客论坛"W0rm"数据泄露页面被涂鸦
https://darkwebnews.com/dark-web/hacking-forum-w0rm-breached-defaced/
技术类:
将Msbuild.exe打造成键盘记录的代码
https://gist.github.com/subTee/c51ea995dfaf919fd4bd36b3f7252486
Google SpreadSheet的CSRF漏洞和JSON劫持漏洞允许数据窃取
https://www.rodneybeede.com/Google_Spreadsheet_Vuln_-_CSRF_and_JSON_Hijacking_allows_data_theft.html
CVE-2016-1247:debian发行版的nginx提权漏洞
https://www.debian.org/security/2016/dsa-3701
FreeBSD 10.1 x86内核拒绝服务漏洞
http://whereisk0shl.top/post/2016-10-26
劫持你的键盘按键监听你的Skype呼叫
https://arxiv.org/pdf/1609.09359.pdf
How to Exploit Dirtyc0w
Joomla!存在未授权创建账号/权限提升漏洞分析,中文分析可以参考http://bobao.360.cn/learning/detail/3139.html,在请求的时候可以通过user[groups][0]来注册其他组的用户
取证分析android上的ChatSecure即时通信软件
https://arxiv.org/abs/1610.06721
The DrK Attack POC:使用 Intel TSX 突破内核ASLR
https://github.com/sslab-gatech/DrK
BrowserSmack 浏览器栈代理漏洞
http://bloggerbust.ca/2016/10/26/browsersmack-a-browser-stack-proxy-vulnerability/
Android逆向随笔之遇见MultiDex
从Cerber勒索软件中学习murmurhash算法
http://bbs.ichunqiu.com/thread-14070-1-1.html
partners.cloudflare.com站点的反射xss漏洞
https://hackerone.com/reports/131397
PCILeech:通过直接内存访问来攻击软件
https://github.com/ufrisk/pcileech
如何开启你的AWS API调用的MFA保护
https://aws.amazon.com/blogs/security/how-to-enable-mfa-protection-on-your-aws-api-calls/
使用Capstone/Keystone 二进制补丁你的PixHawk固件
https://www.invincealabs.com/blog/2016/10/
CentOS 脏牛漏洞补丁已经发布
https://lists.centos.org/pipermail/centos-announce/2016-October/022133.html
文章原文链接:https://www.anquanke.com/post/id/84802
