安全月小知识

7月20日-每日安全知识热点

专业:

PayPalBounty:不愿意升级个人资料(CSRFPaypal.me(CSRF攻击)

https://hetical.io/paypal-bug-bounty-updating-the-paypal-me-profile-picture-without-consent-csrf-attack/

绕过GMAIL有意的宏签名

https://warroom.securestate.com/bypassing-Gmail-恶意-宏签名/

*** 作Magento的数据加密数据库

http://www.openwall.com/lists/oss-security/2016/07/19/3

CVE-2016-5080:ASN.1解析由ObjectiveSystemsInc.ASN1C编译器C/C生成的代码时出现堆内存损坏

https://github.com/Programa-stic/security-advisories/tree/master/ObjSys/CVE-2016-5080

被盗的AV绕过漏洞利用来缓解

http://breakingmalware.com/vulnerabilities/captain-hook-pirating-AVS-bypass-exploit-mitigations/

使用CSRF窃取fackbook的访问令牌

https://www.josipfranjkovic.com/blog/hacking-Facebook-csrf-device-login-flow

客户端redis攻击POC

https://ericrafaloff.com/client-side-redis-attack-poc/

苹果镜像I/oAPItiletiff远程控制代码执行系统的漏洞

http://www.talosintelligence.com/reports/TALOS-2016-0171/

基本Nngix推广

https://n0where.net/how-to-basic-nginx-optimization/

使用Flash、PDF和Silverlight对被劫持的内容进行POC

https://github.com/nccgroup/CrossSiteContentHijacking

升级相关iOS9.3.3安全内容级别

https://support.apple.com/en-us/HT206902

nmap7.25BETA1发售:应用了新的Npcap驱动，改进了6个NSE脚本，OS验证更强

http://seclists.org/nmap-announce/2016/3

跨链重放攻击

http://hackingdistributed.com/2016/07/17/跨链-重播/

如何把Bug赏金报告写的更强

https://hackerone.com/blog/how-bug-bounty-reports-work

带有系统漏洞的编码挂钩模块会使终端设备被入侵

https://www.helpnetsecurity.com/2016/07/19/有缺陷的代码挂钩引擎/

潜伏创建者入侵Ammyy网站，在侧门放置木马病毒

https://securelist.com/blog/research/75384/潜伏在你最意想不到的地方

CVE-2016-0189:(IE11中的VBScript内存损坏)

https://github.com/theori-io/cve-2016-0189

基于字符串的异常攻击(粉碎原子)

http://mista.nu/research/smashing_the_atom.pdf

解析Cerber攻击故意诈骗手机软件的全过程

https://www.fireeye.com/blog/threat-research/2016/07/cerber-ransomware-attack.html

分析Cknife，一个类似于水果刀的webshell可视化工具，第2部分

https://www.recordedfuture.com/web-shell-analysis-part-2/

实践活动ntds.dit文档第61部分:与john一起解密

https://blog.DidierStevens.com/2016/07/19/practice-NTDs-dit-file-part-6-password-cracking-with-John-the-ripper-wordlist/

代码审计:基于PYTHON的WEB应用软件的代码审计

https://www.appsecconsulting.com/blog/cod

drupal8.1.6由于Guzzle库的应用，非常容易受到httpoxy攻击

https://cxsecurity.com/issue/WLB-2016070150

特洛伊木马病毒在Retefe金融机构中的演变

https://blog.avast.com/the-evolution-of-the-retefe-banking-trojan

新闻类别:

菲律宾政府网站被DDOS攻击

http://news.softpedia.com/news/Philippines-government-websites-hit-by-massive-DDOS-attacks-China-suspected-506412.shtml

国家能源网络中的恶意程序可以绕过互联网和物理安全

http://www.infosecurity-magazine.com/news/nation-state-energy-grid-malware/

中国新闻信息:

360网神公布源代码，考察新产品，推动软件平台开发

欢迎分享，转载请注明来源：内存溢出

原文地址: http://outofmemory.cn/zz/771827.html