一周信息安全干货分享【第132期】

 

安全资讯


1.去年曝出的 HPE 远程管理软件身份验证漏洞是 29 个“A”

攻击者只需要通过 cURL 发送一个包含 29 个 A 的请求,就能绕过身份验证

2.NSO Group 的一名雇员被控盗取了公司的间谍软件

以色列间谍软件公司 NSO Group 的间谍软件能入侵智能手机

3.入侵 Gentoo GitHub 账号的攻击者在构建脚本里加入 rm -rf /* 命令

Gentoo Linux 项目在 GitHub 上的账号遭到入侵,攻击者随后对 Gentoo 的代码进行大肆修改

4.Firefox 和 Chrome 下架流行扩展 Stylish

用户样式管理器 Stylish 是一个非常受欢迎的浏览器扩展,但在被多次转手之后,这个扩展开始变得恶意

 

技术干货


1.FastJson 反序列化漏洞利用的三个细节 

TemplatesImpl 利用链

2.被动防御之蜜网实践(一)

文章主要介绍甲方蜜网整体架构的设计与实现框架,提出基于复杂网络情况下的蜜网系统产生误报的解决方案

3.WebShell检测-ArcSight实战系列之七

文章介绍了使用ArcSight基于Web访问日志来检测WebShell的一种思路及具体实现方法

4.物联网安全硬件修改系列-硬改

硬件层面的修改在现实生活中是相当常见的事情

5.PHP使用流包装器实现WebShell

在Web安全领域WebShell的构造与查杀是永不停息的话题

6.fortify漏洞的学习途径

学会fortify,寻找漏洞不用愁

7.微信支付SDK存在XXE漏洞

微信在JAVA版本的SDK中提供callback回调功能,用来帮助商家接收异步付款结果

8.PublicCMS 任意目录文件写入漏洞分析与利用

前两天收集整理通用漏洞POC过程时碰到PublicCMS

9.IoT安全测试之通信测试环境及方法

IoT安全测试之通信测试环境及方法

10.sql注入fuzz bypass waf

简单的对sql注入绕过waf的小总结

 

工具与资料


1.伏羲 Fuxi-Scanner

开源网络安全检测工具

2.USENIX Security 2018 论文录用列表

USENIX Security是信息安全领域四大顶级学术会议之一,始于上世纪90年代初

3.UAS

点评侧用户行为检索系统

4.onlinetools

这是一款线上工具箱

5.中国网络安全产品分类及全景图

2018.7发布

6.信息安全规划文档的编写

信息安全规划文档的编写

7.CTF PWN堆溢出总结

新手科普

8.金融企业安全从业者的未来

金融企业安全从业者的未来

9.Linux pwn入门教程(0)——环境配置

Linux pwn入门

发表评论

电子邮件地址不会被公开。

This site uses Akismet to reduce spam. Learn how your comment data is processed.