一周信息安全干货分享【第135期】

安全资讯


1.Google 披露 Fortnite Android 版安全漏洞,Epic 抨击 Google 不负责任

Epic 的热门大逃杀游戏 Fortnite 已发布了 Android 的 Beta 版本,但它没有通过 Google 控制的应用商店发布

2.黑客在暗网出售华住酒店记录

有黑客正在“中文暗网市场交易网站(需注册,需 Tor 浏览器)”出售华住集团旗下酒店的数据库

3.千名西澳大利亚公务员用 password123 作为密码

西澳大利亚州的审计长公布了该州的安全审计报告(PDF),发现 26% 的政府公务员使用了弱密码

4.OpenBSD 停用英特尔处理器的超线程功能

OpenBSD 创始人在邮件列表上宣布 OpenBSD -current(6.4) 将停用英特尔处理器的超线程功能

 

技术干货


1.ecshop2.x 代码执行

问题发生在user.php的display函数,模版变量可控,导致注入

2.智能家居安全——身份劫持

KCon 2018 议题解读

3.Python 动态代码审计

KCon 2018 议题解读

4.Win10 存在本地提权 0day 漏洞

2018年8月27日,安全研究人员在Twitter上披露了Windows 10系统中的一个0day漏洞

5.快速找出网站中可能存在的XSS漏洞实践

快速找出网站中可能存在的XSS漏洞实践(一)

6.SharePoint远程代码执行

一篇译文

7.华芸科技ASUSTOR ADM操作系统最新高危漏洞预警

2018年8月17日,外网发布华芸科技旗下ASUSTOR ADM操作系统存在包括sql注入和远程命令执行的多个漏洞

8.漏洞挖掘之从无到有

漏洞挖掘之从无到有

9.深入剖析VirtualBox VM 逃逸漏洞(CVE-2018-2844)

从编译器优化到代码执行

10.Linux pwn入门教程

Linux pwn入门系列教程

 

工具与资料


1.Burp Suite 2.0测试版

Burp Suite 2.0 beta现在可供专业版用户使用

2.2018上半年暗网研究报告

from 知道创宇404实验室

3.ECShop <= 2.x/3.6.x/3.0.x 版本远程代码执行高危漏洞利用

ECShop远程代码执行高危漏洞利用

4.Jackson反序列化漏洞简介

Jackson反序列化漏洞系列

5.利用GIXY发现错误的Nginx配置

Gixy是一个分析Nginx配置的工具

6.GandCrabV4.3详细分析报告

GandCrab勒索病毒于2018年1月首次出现,在半年的时候之内,迅速发展

7.渗透测试各阶段我常用的那些“神器”

渗透测试-各阶段我常用的那些“神器”

8.文件安全检测

在企业安全事件应急处置和异常行为分析的时候,往往需要对文件进行安全检测

9.2018 网络安全分析与情报大会PPT 

2018 网络安全分析与情报大会PPT 下载

10.WordPress <= 4.9.x 拒绝服务(DOS)漏洞利用

CVE-2018-6389

11.WordPress 2.3-4.8.3 任意密码重置/HOST头注入漏洞利用

CVE-2017-8295

12.极客巅峰第二场wp

极客巅峰第二场writeup

13.w11scan

w11scan是一款分布式的WEB指纹识别系统

14.BGP安全之殇

链接:https://pan.baidu.com/s/1Kpc7ELslTauTFTA5808Vzg 密码:1eg7

 

发表评论

电子邮件地址不会被公开。

This site uses Akismet to reduce spam. Learn how your comment data is processed.