http://p6.qhimg.com/t017313015b51e6034e.png


热点概要:绕过OWA & Office365 入口的双因子验证、对iOS的Pegasus利用的技术分析、Pornhub使用WebSockets绕过Ad Blockers的防护、如何黑一个无人机的详尽资料、对ATM机的渗透测试

国内热词:

研究称暗网中的大部分活动是合法而平凡的

微软停止向OEM厂商出售Windows 7和8.1

因隐私担忧 Firefox 移除对电池状态API的支持

公民实验室逆向工程中国直播软件的关键词名单

匿名者已经入侵了Bradley基金会并发布了30 GB的文档

资讯类:

没有补丁的 WIX.COM ,将成千上万网站至于风险中

https://threatpost.com/unpatched-vulnerability-on-wix-com-puts-millions-of-sites-at-risk/121752/

黑客试图从美国金融机构窃取150万美元

http://www.darkreading.com/attacks-breaches/hacker-caught-attempting-to-steal-$15-million-from-us-financial-institution/d/d-id/1327322

微软称与俄罗斯有关联的黑客组织正在利用新发现的Windows漏洞

http://arstechnica.com/security/2016/11/windows-zero-day-exploited-by-same-group-behind-dnc-hack/

技术类:

绕过OWA & Office365 入口的双因子验证,详细视频地址在https://www.youtube.com/watch?v=HHxBhPY98rI

http://www.blackhillsinfosec.com/?p=5396

对iOS的Pegasus利用的技术分析

https://info.lookout.com/rs/051-ESQ-475/images/pegasus-exploits-technical-details.pdf

Pornhub使用WebSockets绕过Ad Blockers的防护

http://blog.bugreplay.com/post/152579164219/pornhubdodgesadblockersusingwebsockets

TJSON介绍:一款面向安全的JSON

https://tonyarcieri.com/introducing-tjson-a-stricter-typed-form-of-json

我如何快速挖掘到价值500美金的漏洞的

http://dsasmblr.com/bug-bounties-security-isnt-the-only-attack-vector/

采用Pattern模式,是暴力破解更容易,2014年有篇类似的文章https://blog.korelogic.com/blog/2014/04/04/pathwell_topologies可以作为辅助参考

http://fsecurify.com/targeted-bruteforcing-mining-patterns-to-make-brute-forcing-easy/

DOMPurify 0.8.4发布

https://github.com/cure53/DOMPurify/releases/tag/0.8.4

Return Flow Guard

http://xlab.tencent.com/en/2016/11/02/return-flow-guard/

使用WIndbg快速预览AtomBombing 

https://blog.comae.io/quick-look-at-atombombing-with-windbg-610dde058da1#.ujg0kd7ta

如何黑一个无人机?已知无人机的漏洞,利用工具,技术文章汇总帖

https://medium.com/@swalters/how-can-drones-be-hacked-the-updated-list-of-vulnerable-drones-attack-tools-dd2e006d6809#.7hrx88idj

攻击13.56MHz的RFID设备

https://www.iacr.org/archive/ches2007/47270320/47270320.pdf

使用Angr解决 Ekoparty 2016会议上的CTF的Sokohashv2.0关卡

https://immunityservices.blogspot.tw/2016/11/solving-sokohashv20-full-of-angr-on.html

对ATM机的渗透测试

http://resources.infosecinstitute.com/atm-penetration-testing/

CURL 7.51.0 更新 -修复多个安全漏洞,建议及时更新

https://curl.haxx.se/changes.html#7_51_0

Oracle java运行环境 java.awt.Menu UAF 远程代码执行漏洞

http://www.zerodayinitiative.com/advisories/ZDI-16-571/

Oracle weblogic通用DiskFileIte反序列化导致的RCE漏洞

http://www.zerodayinitiative.com/advisories/ZDI-16-572/

metasploit版Linux Kernel (Ubuntu / Fedora / Redhat) – 'Overlayfs'提权漏洞POC

https://www.exploit-db.com/exploits/40688/

Microsoft Internet Explorer 11 – MSHTML CView::CalculateImageImmunity UAF利用程序

https://www.exploit-db.com/exploits/40691/

grr:高性能的二进制Fuzzer

https://github.com/trailofbits/grr

USaBUSe:Defcon 24 上的议题:一个用来演示通过硬件绕过软件安全保护的项目

https://github.com/sensepost/USaBUSe

FizzBuzz细节分析

http://www.rubypigeon.com/posts/fizzbuzz-in-too-much-detail/

文章原文链接:https://www.anquanke.com/post/id/84836