一周信息安全干货分享【第136期】

安全资讯


1.研究人员利用来自扬声器的声纳信号窃取解锁模式

兰开斯特大学的研究人员在预印本网站 arXiv 发表论文,演示了利用智能手机麦克风和扬声器来窃取解锁模式

2.MEGA 官方 Chrome 扩展被加入窃取密码和数字货币私钥的恶意代码

未知攻击者向 Google 官方扩展商店 Google Chrome webstore 上传了文件共享服务 MEGA.nz 的一个木马版本

3.7500 台 MikroTik 路由器被植入挖矿代码和流量转发

奇虎旗下的安全实验室报告,7500+ 台 MikroTik 路由器被植入挖矿代码并将用户流量转发给攻击者指定的 IP 地址

4.Mozilla 公布 DNS over HTTPS 实验结果

Mozilla 早些时候 发布了 Firefox 的 Nightly 版本,引入了 DNS over HTTPS (DoH) 功能

5.ECSHOP多个版本远程代码执行漏洞

漏洞预警

技术干货


1.企业应用指纹平台框架实践

当外界爆出0day或者高危通用漏洞时,安全工程师需要排查所有受影响产品和业务线

2.史上最完整的MySQL注入

这篇文章题目为“为新手完成MySQL注入”,它旨在提供专门针对MySQL数据库的SQL注入的完整知识和工作方式

3.以太坊智能合约 OPCODE 逆向之调试器篇

本篇将继续深入研究OPCODE,编写一个智能合约的调试器

4.代码自动化扫描系统的建设

代码审计一直是企业白盒测试的重要一环

5.美团HTTP流量定制化路由的实践

Oceanus是美团基础架构部研发的统一HTTP服务治理框架

6.代码审计3-熊海cms v1.0

熊海cms代码审计

7.子域名劫持指南

一篇译文

 

工具与资料


1.哈希碰撞与生日攻击

所谓哈希(hash),就是将不同的输入映射成独一无二的、固定长度的值(又称”哈希值”)

2.387个暗网网址 Dark Web Websites URL

387个暗网网址

3.一份安全编写和审计Chrome扩展程序的指南

突破限制—一份安全编写和审计Chrome扩展程序的指南

4.一款轻量级Web漏洞教学演示系统

Damn Small Vulnerable Web (DSVW) 是使用 Python 语言开发的 Web应用漏洞的演练系统

5.机器学习笔记整理全解

机器学习笔记整理全解

6.KCon 2018 议题 PPT 公开

PPT下载

7.DockerXScan

Docker镜像漏洞扫描器

8.opencanary_web

基于opencanary的蜜罐web服务端

9.DesktopNaotu

桌面版脑图是基于百度脑图的本地化版本,帮助你在没有互联网环境的情况下,依然可以使用脑图工具

10.ISG 2018 Web Writeup

ISG 2018 WP

11.腾讯企业终端安全管理最佳实践

腾讯企业终端安全管理最佳实践

12.DDoS威胁与黑灰产业调查报告

DDoS威胁与黑灰产业调查报告

 

发表评论

电子邮件地址不会被公开。

This site uses Akismet to reduce spam. Learn how your comment data is processed.