热点概要:使用Beamgun防护PoisonTap和其他的类似虚假USB网络适配器欺骗、反向工程攻击tor用户的firefox浏览器的payload、揭开思科ASA防火墙网络军火的面纱(下)Shadow Brokers 泄露后门完整分析、Bypassing CSP using polyglot JPEGs
国内热词:
George Hotz释出开源自动驾驶软件
微信如何审查用户信息
Mozilla 和 Tor 释出紧急更新修复正被利用的0day漏洞
亚马逊发现用卡车转移数据比网络更快
Twitter称如果特朗普违反仇恨言论规定将予以封杀
报告称移动恶意程序控制了超过100万Google账号
资讯类:
FireEye说:俄罗斯在美国选举时使用社交媒体影响选民
技术类:
FreePBX 13:从XSS到远程代码执行
https://blog.ripstech.com/2016/freepbx-from-cross-site-scripting-to-remote-command-execution/
我如何学习GIOP,然后获取非认证远程代码执行的
http://blog.malerisch.net/2016/12/alcatel-omnivista-8770-unauth-rce-giop-corba.html
使用Beamgun防护PoisonTap和其他的类似虚假USB网络适配器欺骗
OSS-Fuzz发布:开源软件的连续模糊测试 其github项目地址在https://github.com/google/oss-fuzz
https://testing.googleblog.com/2016/12/announcing-oss-fuzz-continuous-fuzzing.html
有关ASP.NET中的master keys你需要知道的
https://lowleveldesign.wordpress.com/2016/11/30/decrypting-asp-net-4-5/
反向工程攻击tor用户的firefox浏览器的payload
http://www.leviathansecurity.com/blog/reverse-engineering-firefox-and-tor-targeted-payload
分析Airdroid中的多个漏洞
https://blog.zimperium.com/analysis-of-multiple-vulnerabilities-in-airdroid/
metinfo 未修复漏洞一枚
一个目录穿越引发的注入及后续——XG SDK漏洞回顾与思考
【CTF攻略】FlappyPig HCTF2016 Writeup
http://bobao.360.cn/ctf/detail/179.html
揭开思科ASA防火墙网络军火的面纱(下)Shadow Brokers 泄露后门完整分析
http://bobao.360.cn/learning/detail/3248.html
Bypassing CSP using polyglot JPEGs (如果你的网站CSP配置为允许script来自self,并且同域下有上传,通过上传特殊构造的JPG文件可以绕过CSP)
http://blog.portswigger.net/2016/12/bypassing-csp-using-polyglot-jpegs.html
Microsoft Edge: Info Leak in JSON.parse
https://bugs.chromium.org/p/project-zero/issues/detail?id=952
The art of Golden Ticket Kerberos Keys
https://medium.com/@rootsecdev/the-art-of-golden-ticket-kerberos-keys-1125c57eab51
PoshC2的新功能
https://labs.nettitude.com/blog/poshc2-new-features/
评论