热点概要:总结最全的勒索软件相关信息的速查表、PHPCMS v9.6.0 任意文件上传漏洞分析、Unitrends(一体式企业备份软件) 远程代码执行漏洞分析、Solaris 7 – 11 (x86 & SPARC)权限提升漏洞、在android上的chrome中的逻辑错误、4年来第一次更新!OWASP Top 10 2017 rc1解读
国内热词(以下内容部分摘自http://www.solidot.org/):
俄罗斯可能承认比特币合法
微软修复正被利用的三个漏洞
微软终止支持 Windows Vista,开始推送 Windows 10 Creators 更新
中国起草法律对出境数据进行强制性安全检查
资讯类:
黑客使用手机传感器窃取PIN码
https://threatpost.com/phone-hack-uses-sensors-to-steal-pins/124945/
Shadow Brokers上周放出的工具中针对Solaris boxes获取远程root权限已确认
http://securityaffairs.co/wordpress/57951/hacking/shadow-brokers-solaris-exploits.html
技术类:
总结最全的勒索软件相关信息的速查表
https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#
实时验证https保护下的Netflix视频流
http://www.mjkranch.com/docs/CODASPY17_Kranch_Reed_IdentifyingHTTPSNetflix.pdf
逆向工程分析DGA(域名生成算法)
PHPCMS v9.6.0 任意文件上传漏洞分析
针对iPhone 3GS的无限制bootrom攻击
https://github.com/axi0mX/alloc8
MasterPrint:探索部分指纹验证系统的漏洞
http://ieeexplore.ieee.org/document/7893784/
Unitrends(一体式企业备份软件) 远程代码执行漏洞分析
https://rhinosecuritylabs.com/research/remote-code-execution-bug-hunting-chapter-1/
任天堂:3DS DNS客户端解析库使用可预测的TXID
https://bugs.chromium.org/p/project-zero/issues/detail?id=1089
加密的SQL注入案例
https://www.notsosecure.com/anatomy-hack-sqli-via-crypto/
分析CVE-2017-0199恶意的RTF文档
https://blog.nviso.be/2017/04/12/analysis-of-a-cve-2017-0199-malicious-rtf-document/
Adobe Flash UAF导致远程代码执行
http://www.zerodayinitiative.com/advisories/ZDI-17-245/
Horde Groupware Webmail 3 / 4 / 5 代码执行
https://packetstormsecurity.com/files/142106/hgw345-exec.txt
无线鼠标/键盘的重放攻击
http://www.kitploit.com/2017/04/mousejack-transmit-wireless.html
20个流行的无线黑客工具
http://resources.infosecinstitute.com/20-popular-wireless-hacking-tools-updated-for-2016/
Windows 10 Creators 更新了哪些特性
直接执行Shellcode
https://osandamalith.com/2017/04/11/executing-shellcode-directly/
黑客利用0day安装臭名昭着的监控公司FinFisher的间谍软件
Solaris 7 – 11 (x86 & SPARC)权限提升漏洞
https://github.com/HackerFantastic/Public/blob/master/exploits/dtappgather-poc.sh
微软在Internet Explorer 11弃用VBScript
https://blogs.windows.com/msedgedev/2017/04/12/disabling-vbscript-execution-in-internet-explorer-11/
Nightmare VM (CTF Challenge) Writeup
http://www.hackingarticles.in/hack-nightmare-vm-ctf-challenge/
研究人员称网页可通过传感器去检测pin码
https://9to5mac.com/2017/04/12/iphone-motion-sensors-detect-passcodes-pins/
java-html-sanitizer bypass
https://github.com/OWASP/java-html-sanitizer/issues/110
Tweetdeck 上的Domxss
https://hackerone.com/reports/119471
在android上的chrome中的逻辑错误
https://www.slideshare.net/CanSecWest/csw2017-geshevmiller-logic-bug-hunting-in-chrome-on-android
4年来第一次更新!OWASP Top 10 2017 rc1解读
http://mp.weixin.qq.com/s/c1LvUAfCY-fY3y0yEDF3lw
文章原文链接:https://www.anquanke.com/post/id/85878