一周信息安全干货分享【第123期】

 

安全资讯


1.首例 IPv6 拒绝服务攻击

一台 DNS 服务器遭到了拒绝服务攻击,对恶意流量的抓包分析发现,攻击源自于 IPv6 地址

2.GitHub 遭到 1.35Tbps 的 DDoS 攻击

GitHub 官方博客披露,它在 2018 年 2 月 28 日遭到峰值攻击流量高达 1.35Tbps 的 DDoS 攻击

3.广告网络利用先进恶意程序技术挖矿

越来越多的网站使用挖矿脚本利用浏览者的 CPU 挖掘门罗币

4.美国指责俄罗斯军方黑客入侵了冬奥会系统

美国情报官员指控俄罗斯军方黑客伪装成朝鲜黑客在韩国平昌冬奥会开幕式期间入侵了计算机系统

5.1Password 用户无需发送密码即可检查密码是否已被泄露

你也许担心自己的密码已被泄露,但又不愿意去查询密码是否真的泄露

 

技术干货


1.解决DEDECMS历史难题–找后台目录

利用限制仅针对windows系统

2.FLASH 0day(CVE-2018-4878)从POC到利用

360 A-TEAM 将为大家介绍FLASH 0day(CVE-2018-4878)如何从POC到利用。

3.基于Memcached分布式系统DRDoS拒绝服务攻击技术研究

本次反射式拒绝服务攻击技术基于全球互联网分布式的Memcached服务器

4.漏洞分析与实践之基于SAML实现的单点登录系统

近日,笔者看到国外安全组织Duo Labs公布了一个比较有意思的漏洞

5.绕过某cms自定义检查函数的sql注入

首先这个cms是tp框架开发的,版本是3.2.3

6.Java反序列化漏洞学习实践一

从Serializbale接口开始,先弹个计算器

7.iZhanCMS_v2.1 漏洞分析

爱站CMS是一款开源免费的CMS内容管理系统

8.python沙箱逃逸小结

python沙箱逃逸小结

9.利用Masterkey离线导出Chrome浏览器中保存的密码

不需要获得用户的明文口令,并且得出新的结论

10.Tomcat CVE-2018-1305 分析

Java EE 提供了类似 ACL 权限检查的注解,可以直接用于修饰 Java Servlet,用于对 Servlet 进行 ACL 保护

11.OAuth2.0认证缺陷

第三方帐号快捷登录授权劫持漏洞

 

工具与资料


1.Docker 入门教程

2013年发布至今, Docker 一直广受瞩目,被认为可能会改变软件行业

2.HTTP/2 服务器推送(Server Push)教程

HTTP/2 协议的主要目的是提高网页性能

3.爬虫基础篇[Web 漏洞扫描器]

Web 漏扫的爬虫和其他的网络爬虫的技术挑战不太一样

4.2017年Android恶意软件专题报告

From 360烽火实验室

5.Android动态日志系统Holmes

From 美团点评技术团队

6.中国运营商IP地址库(每日更新)

依据中国网络运营商分类的IP地址库

7.2017年度中国互联网黑产报告

From 威胁猎人

8.Enumeration sub domains

枚举子域名

9.黑灰产服务型产业链报告

2017年度黑灰产画像

10.2018年网络威胁情报现状调研报告

2018年2月初,SANS发布了一年一度的网络威胁情报调研报告

11.我的CISSP之路

本文写于2012年,通过CISSP认证考试后的总结

发表评论

电子邮件地址不会被公开。

This site uses Akismet to reduce spam. Learn how your comment data is processed.