http://p6.qhimg.com/t017313015b51e6034e.png


热点概要:一些钓鱼欺骗技巧、phpmailer RCE 分析、如何使用dom-xss绕过CSP nonces、基于约束的SQL攻击、BurpSuite 的反射文件下载检测插件


国内热词(以下内容部分摘自http://www.solidot.org/):


数百万网站因流行PHP脚本的安全漏洞而受影响

AI倾听着机器的声音寻找故障的信号

豆瓣和猫眼据报因为低分被电影局约谈

美国起诉中国交易员窃取律所资料进行内线交易

随着 Cyanogen的死亡,Google对 Android的控制比任何时候更严密

警方为凶案调查要求亚马逊提供Amazon Echo录音

资讯类:


Facebook安全检查功能帮助宣传一个关于曼谷爆炸的假新闻故事

http://uk.businessinsider.com/facebook-safety-check-promotes-fake-news-story-about-bangkok-bombing-2016-12?r=US&IR=T

android通过DNS劫持家庭路由器

https://threatpost.com/android-trojan-switcher-infects-routers-via-dns-hijacking/122779/

技术类:


PHP escapeshellarg()+escapeshellcmd() 之殇

http://paper.seebug.org/164/

phpmailer RCE 分析

http://0x48.pw/2016/12/28/0x29/

Hack With XSLT

http://evi1cg.me/archives/Hack_With_XSLT.html

BurpSuite 的反射文件下载检测插件

https://github.com/onurkarasalihoglu/Reflected-File-Download-Checker-BurpSuite-Plugin

基于约束的SQL攻击

https://dhavalkapil.com/blogs/SQL-Attack-Constraint-Based/

SwiftMailer <= 5.4.5-DEV远程代码执行漏洞 (CVE-2016-10074)

https://legalhackers.com/advisories/SwiftMailer-Exploit-Remote-Code-Exec-CVE-2016-10074-Vuln.html

一些钓鱼欺骗技巧

https://d.uijn.nl/2016/12/28/shortcuts-another-neat-phishing-trick/

基于Peach Fuzzing框架增强Meta文件fuzz的开源项目

https://github.com/payatu/EMFFuzzer

介绍serene

https://summitroute.com/blog/2016/12/22/introducing_serene/

Hadoop safari: Hunting for vulnerabilities

https://2016.zeronights.ru/wp-content/uploads/2016/12/Wavestone-ZeroNights-2016-Hadoop-safari-Hunting-for-vulnerabilities-v1.0.pdf

web应用程序的测试方法,当然也有对应的测试工具

https://blog.zsec.uk/ltr101-methodologies/

https://blog.zsec.uk/101-web-testing-tooling/

对 "Woolim – Lifting the Fog on DPRK’s Latest Tablet PC"议题的一些想法记录

https://insinuator.net/2016/12/woolim-lifting-the-fog-on-dprks-latest-tablet-pc/

如何在KALI上编译WINDOWS下的利用程序代码

http://www.hackingtutorials.org/exploit-tutorials/mingw-w64-how-to-compile-windows-exploits-on-kali-linux/

GSM包分析框架

https://github.com/shwetankarora/Gsm-Packets-Analysis-Framework

如何使用dom-xss绕过CSP nonces

http://sirdarckcat.blogspot.com/2016/12/how-to-bypass-csp-nonces-with-dom-xss.html

最新版本的SDK,开发工具,WINDOWS下载地址

https://developer.microsoft.com/en-us/windows/downloads/virtual-machines

软件安全:Anti-Patching

http://resources.infosecinstitute.com/software-security-anti-patching/

如何在ubuntu 16.04上配置docker

http://www.linuxtechi.com/how-to-setup-docker-on-ubuntu-server-16-04/

CERT瑞士暂时缺乏Tofsee僵尸网络

https://www.bleepingcomputer.com/news/security/cert-switzerland-temporarily-cripples-tofsee-botnet/

文章原文链接:https://www.anquanke.com/post/id/85223