安全资讯

---

1.腾讯安全工程师利用酒店 WiFi 漏洞访问内部服务器被罚 5000 美元

腾讯的一位安全工程师在出席新加坡举行的网络安全会议期间将入侵酒店 WiFi 系统作为消遣

2.加州考虑禁止默认密码

加州参议院向州长 Jerry Brown 递交法律草案

3.“我是管理员” bug 将西部数据的 My Cloud 设备变成每个人的云

Securify 的安全研究人员披露了西部数据 My Cloud 的一个漏洞

4.新蛋的结帐页面被植入窃取信用卡数据的恶意代码

美国消费者电子产品零售商新蛋的结帐页面被植入了窃取信用卡数据的恶意代码，时间长达一个月之久

5.华住称在暗网出售其数据的嫌疑人已被捕

上月底，有黑客被发现正在“中文暗网市场交易网站”出售华住集团旗下酒店的数据库

6.恶意 Kodi 扩展将用户的机器变成矿机挖掘门罗币

流行的开源多媒体播放器 Kodi 支持扩展，部分扩展支持盗版内容

7.研究人员警告现代计算机都易受冷启动攻击

F-Secure 的安全研究人员重新发现了冷启动攻击

 

技术干货

---

1.Exploit Singapore Hotels

这几天在新加坡参加 HITB，比起各类料理，更让我感兴趣的是它的酒店 WiFi

2.实战研究绕过安全狗全过程（时长5小时）

from 90sec

3.JavaMelody 组件 XXE 漏洞解析

JavaMelody是一个用来对Java应用进行监控的组件

4.深入解析 CVE-2018-5002 漏洞利用技术

2018年6月1号，360高级威胁应对团队捕获到一个在野flash 0day

5.禅道pms-路由及漏洞分析

故事起源于一次校园网内扫描，扫到一台禅道的服务器

6.RirchFaces反序列化漏洞

from 勾陈安全实验室

7.JavaEE论坛代码审计

JavaEE论坛代码审计

8.ECShop全系列版本远程代码执行高危漏洞分析+实战提权

ECShop全系列版本远程代码执行高危漏洞分析+实战提权

9.⼀个通杀绝⼤多数交易平台的 XSS 0day 漏洞

from 余弦@慢雾安全团队

10.碎碎念之Afl-fuzz Docker实践

from 勾陈安全实验室

11.GandCrabV2.0勒索—螃蟹的进击

3月初GandCrab（Crab->螃蟹）勒索病毒的服务器被罗马尼亚一家安全公司和警方攻破

 

工具与资料

---

1.命令行通配符教程

from 阮一峰

2.NEO dBFT 共识机制分析与完善

在NEO采用dBFT机制实现共识节点之间的“拜占庭容错”

3.以太坊合约审计 CheckList 之“以太坊智能合约编码设计问题”影响分析报告

from LoRexxar’@知道创宇404区块链安全研究团队

4.大数据威胁建模方法论

威胁建模本质上是一个自动化从数据中提取信息的过程

5.pwcracker

一款插件化的密码爆破框架

6.隔壁小孩都要知道的Drupal配置

Drupal是一个开源的PHP内容管理系统

7.基于设备指纹的风控建模以及机器学习的尝试

基于设备指纹的风控策略以及应用已经十分的广泛

8.经典台大李宏毅机器学习课程从这里开始

机器学习入门

9.跨平台的安全检测工具包

xsec-checker是一款服务器安全检测的辅助工具

10.SNETCracker

超级弱口令检查工具

11.WebRange

一个Web版的docker管理程序

12.Moloch

网络流量收集与分析

13.gortcp

内网穿透、远程文件上传下载、命令执行

14.互联网黑灰产工具软件2018半年报告

from 威胁猎人