热点概要:利用Discuz e2dk地址XSS挂马分析报告、github的CSP实践、BadBookmarklet小书签的安全风险、攻击者眼中的JTAG接口、利用动态符号执行进行代码覆盖测试、用SQL注入穿IE沙箱
国内热词(以下内容部分摘自http://www.solidot.org/):
安全: 加密消息应用Signal的“后门”——Google
网络中立利弊论
安全: 新发现的Mac恶意程序被用于监视受害者的网络
安全: 调查认为乌克兰上个月发生的断电是网络攻击导致的
资讯类:
使用简单的表情让任意人的iPhone或者ipad崩溃
http://thehackernews.com/2017/01/crash-iphone-emoji.html
US-CERT发出预警:ShadowBrokers之前贩卖的SMB 0day漏洞
http://securityaffairs.co/wordpress/55454/hacking/smb-zero-day-exploit.html
技术类:
Microsoft颜色校正系统(mscms!CTetra::Intp3D)堆溢出
https://bugs.chromium.org/p/project-zero/issues/detail?id=1055
github的CSP实践
https://githubengineering.com/githubs-post-csp-journey/
https://githubengineering.com/githubs-csp-journey/
揭秘2016/17年度Carbanak组织的活动
FakeUSRP:使用LimeSDR去模拟USRP B210设备
https://github.com/jocover/FakeUSRP
Quimitchin:Mac后门使用过时的代码
https://blog.malwarebytes.com/threat-analysis/2017/01/new-mac-backdoor-using-antiquated-code/
BadBookmarklet小书签的安全风险
http://xlab.tencent.com/cn/2017/01/18/badbookmarklet/
用SQL注入穿IE沙箱
http://xlab.tencent.com/cn/2017/01/19/ie-sandbox-escape-with-sql-injection/
Chromium 内核浏览器下的隐身模式追踪
https://www.n0tr00t.com/2017/01/19/Chromium-incognito-mode-track.html
waf自动爆破(绕过)工具
https://github.com/3xp10it/bypass_waf
Inveigh:PowerShell LLMNR/NBNS中间人劫持工具
https://github.com/Kevin-Robertson/Inveigh/tree/dev
Google Android TSP sysfs – 'cmd_store'多重溢出
https://bugs.chromium.org/p/project-zero/issues/detail?id=967
https://www.exploit-db.com/exploits/41130/
Pefile.pypy:浏览器中分析PE二进制文件
https://cloudtracer.github.io/pefile.pypy/public/
攻击者眼中的JTAG接口
IoT研究的资料集合
https://github.com/nebgnahz/awesome-iot-hacks
利用Discuz e2dk地址XSS挂马分析报告(针对某专业军事论坛)
http://bobao.360.cn/learning/detail/3437.html
利用动态符号执行进行代码覆盖测试
http://bobao.360.cn/learning/detail/3430.html
文章原文链接:https://www.anquanke.com/post/id/85370