安全资讯
1.GeekPwn(极客嘉年华)今日开启
10月24 – 25日,FreeBuf将首次采用全程网络视频直播的方式,为你带来这场独具匠心的极客盛宴!
2.移动: 将Android恶意应用隐藏在图像中
两名研究人员找到了一种新方法将恶意程序安装到Android用户的设备上:将其隐藏在图像中(论文PDF)。
3.苹果iCloud在中国遭中间人攻击
国内媒体和国外媒体都广泛报道了苹果iCloud在中国遭到了中间人攻击(MITM),攻击者使用了自签名证书。
4.微软Office Powerpoint遭遇0day漏洞攻击
黑客们对0day漏洞的攻击利用似乎永无止境。微软公司之前已经修复了Windows上三个0day漏洞,而现在又发现了一个新的PPT 0day漏洞(编号CVE-2014-6352)。据了解这个漏洞影响所有版本的Windows操作系统。
5.谷歌推出两步验证方法:Security Key
2014年10月22号,谷歌发布了Security Key,一种USB key形式的两步验证(two-step verification)的方法。如果用户选择该项服务,需要在登录之前插入USB key到自己的计算机上。它有望使谷歌账户更加安全,但需要用户能够真正的使用它。
6.揭秘:西班牙制造的针对性攻击木马Machete
第一眼看上去,它伪装成一个Java相关的应用程序,但快速分析后,我们发现很明显这不仅仅只是一个简单的Java文件。这是有针对性的攻击,我们称之为“Machete”。
7.Yahoo在中国遭遇SSL中间人攻击
2014年10月20日14:30分,雅虎在中国大陆地区再次受到SSL中间人攻击,国内三大运营商访问都存在问题,而香港、美国访问则没有问题。
技术干货
1.KesionICMS(.net)可无视任何条件前台getshell
使用KesionICMS的小伙伴们注意了!
2.CVE-2014-4113漏洞利用过程分析
超级详细的图文技术分析。
3.Windows 平台下局域网劫持测试工具 – EvilFoca
安全测试工具可能含有攻击性,请谨慎适用于安全教学及学习用途,禁止非法利用!
4.SSL中间人证书攻击测试演练
最近相当火的SSL中间人攻击,本文将再现SSL中间人证书攻击场景。
5.Drupal的回调噩梦
前几天爆了一个 Drupal 的 SQL Injection 注入漏洞,但是这个漏洞不止与 SQL 注入这么简单,还可以利用其来 RCE。
6.PHP图片后门藏匿攻略
快来围观藏匿图片后门的奇淫技巧。
7.mysql及mssql数据库SQL执行过程监控审计
Seay_法师的最新工具。
8.KCON v3议题视频:
9.文档资料:
余弦-程序员与黑客(PDF)
何淇丹&宋宇昊-安卓APP漏洞的静态检测方法(PDF)
樊山-无意的内部威胁:社会工程(PDF)
好书推荐
《Web 应用安全权威指南》
原作者徳丸浩被称为“日本 Web 应用安全第一人”,对 Web 应用安全感兴趣的同学可以看看