一周信息安全干货分享【第132期】

 

安全资讯


1.去年曝出的 HPE 远程管理软件身份验证漏洞是 29 个“A”

攻击者只需要通过 cURL 发送一个包含 29 个 A 的请求,就能绕过身份验证

2.NSO Group 的一名雇员被控盗取了公司的间谍软件

以色列间谍软件公司 NSO Group 的间谍软件能入侵智能手机

3.入侵 Gentoo GitHub 账号的攻击者在构建脚本里加入 rm -rf /* 命令

Gentoo Linux 项目在 GitHub 上的账号遭到入侵,攻击者随后对 Gentoo 的代码进行大肆修改

4.Firefox 和 Chrome 下架流行扩展 Stylish

用户样式管理器 Stylish 是一个非常受欢迎的浏览器扩展,但在被多次转手之后,这个扩展开始变得恶意

 

技术干货


1.FastJson 反序列化漏洞利用的三个细节 

TemplatesImpl 利用链

2.被动防御之蜜网实践(一)

文章主要介绍甲方蜜网整体架构的设计与实现框架,提出基于复杂网络情况下的蜜网系统产生误报的解决方案

3.WebShell检测-ArcSight实战系列之七

文章介绍了使用ArcSight基于Web访问日志来检测WebShell的一种思路及具体实现方法

4.物联网安全硬件修改系列-硬改

硬件层面的修改在现实生活中是相当常见的事情

5.PHP使用流包装器实现WebShell

在Web安全领域WebShell的构造与查杀是永不停息的话题

6.fortify漏洞的学习途径

学会fortify,寻找漏洞不用愁

7.微信支付SDK存在XXE漏洞

微信在JAVA版本的SDK中提供callback回调功能,用来帮助商家接收异步付款结果

8.PublicCMS 任意目录文件写入漏洞分析与利用

前两天收集整理通用漏洞POC过程时碰到PublicCMS

9.IoT安全测试之通信测试环境及方法

IoT安全测试之通信测试环境及方法

10.sql注入fuzz bypass waf

简单的对sql注入绕过waf的小总结

 

工具与资料


1.伏羲 Fuxi-Scanner

开源网络安全检测工具

2.USENIX Security 2018 论文录用列表

USENIX Security是信息安全领域四大顶级学术会议之一,始于上世纪90年代初

3.UAS

点评侧用户行为检索系统

4.onlinetools

这是一款线上工具箱

5.中国网络安全产品分类及全景图

2018.7发布

6.信息安全规划文档的编写

信息安全规划文档的编写

7.CTF PWN堆溢出总结

新手科普

8.金融企业安全从业者的未来

金融企业安全从业者的未来

9.Linux pwn入门教程(0)——环境配置

Linux pwn入门

发表评论

电子邮件地址不会被公开。

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据