一周信息安全干货分享【第139期】

 

安全资讯


1.PaX/Grsecurity发布Respectre编译器插件

近日,美国开源安全厂商Open Source Security Inc.公布了PaX/Grsecurity最新的基于GCC编译器插件Respectre

2.中国究竟有没有利用微型芯片渗透亚马逊和苹果?

上一篇文章介绍了中国利用微型芯片渗透亚马逊和苹果的技术可行性,但技术可行不代表事实如此

3.源自中国的软件供应链攻击

彭博商业周刊在报道了硬件供应链攻击之后,又报道了软件方面的供应链攻击

4.平台固件安全防御

美国安全厂商PreOS Security在2018年感谢系统管理员日为系统管理员们献上了一份大礼

5.Intel ME制造模式漏洞曝光

俄罗斯厂商Positive Technologies的安全研究人员公开了借助Intel ME的制造模式(俄文版本)实现INTEL-SA-00086的漏洞利用

6.Facebook 遭网络攻击影响五千万用户

Facebook 举行新闻发布会(发布会文字记录,PDF 格式),宣布遭到网络攻击

7.LoJax:第一个规模利用的 UEFI 恶意固件 rootkit 曝光

ESET团队近日曝光了一个有规模利用的UEFI恶意固件样本LoJax

技术干货


1.一起攻击者利用 Redis 未授权访问漏洞进行新型入侵挖矿事件

近日,腾讯安全云鼎实验室发现一起针对云上服务器利用 Redis 未授权访问漏洞的入侵挖矿事件

2.大数据安全入门-Hadoop

分享一下Win10搭建Hadoop问题、相关安全概念和Hadoop Yarn REST API未授权命令执行漏洞

3.浅谈PHP安全规范

php因天生支持web应用的开发,以其简单易学,开发效率高而备受喜爱

4.记一次对色情网站拥有人身份的挖掘

这一次,没有受害者,本篇文章技术含量低,纯属练手

5.前端安全系列(一):如何防止XSS攻击?

随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点

6.ThinkPHP-漏洞分析集合

说好的和组内大佬一起审cms,搞着搞着就走上了分析ThinkPHP的道路

7.看我如何发现雅虎邮箱APP的存储型XSS漏洞

今天我要分享的是参与雅虎(Yahoo!)漏洞众测项目发现的一个关于雅虎邮箱 iOS应用的漏洞

8.从CVE-2018-1273学漏洞分析

漏洞分析最应该关注的是漏洞相关的代码,至于其余的代码可以通过关键位置下断点,来理解大概功能

 

工具与资料


1.RESTful API 最佳实践

RESTful 是目前最流行的 API 设计规范,用于 Web 数据接口的设计。

2.Java 反编译工具 Luyten

在使用 jd_gui 反编译Java项目, 反编译失败的时候,不妨试试这个工具 Luyten

3.吾爱破解爱盘页面源代码

吾爱破解论坛 爱盘 down.52pojie.cn 页面的源代码

4.以全新的视角来评测公共 CDN

以全新的视角来评测公共 CDN

5.VPNFilter III:恶意软件中的瑞士军刀

一篇译文

6.墨者学院审计类通关指南

某日,在某公司做IT维护的朋友给安全工程师”墨者”发了一个PHP文件

7.Android进程保护研究分析报告

Google设计Android进程的设计是非常友好的,进程在不可见或者其他一些场景下APP要懂得主动释放

发表评论

电子邮件地址不会被公开。

This site uses Akismet to reduce spam. Learn how your comment data is processed.