热点概要:一些钓鱼欺骗技巧、phpmailer RCE 分析、如何使用dom-xss绕过CSP nonces、基于约束的SQL攻击、BurpSuite 的反射文件下载检测插件
国内热词(以下内容部分摘自http://www.solidot.org/):
数百万网站因流行PHP脚本的安全漏洞而受影响
AI倾听着机器的声音寻找故障的信号
豆瓣和猫眼据报因为低分被电影局约谈
美国起诉中国交易员窃取律所资料进行内线交易
随着 Cyanogen的死亡,Google对 Android的控制比任何时候更严密
警方为凶案调查要求亚马逊提供Amazon Echo录音
资讯类:
Facebook安全检查功能帮助宣传一个关于曼谷爆炸的假新闻故事
android通过DNS劫持家庭路由器
https://threatpost.com/android-trojan-switcher-infects-routers-via-dns-hijacking/122779/
技术类:
PHP escapeshellarg()+escapeshellcmd() 之殇
phpmailer RCE 分析
http://0x48.pw/2016/12/28/0x29/
Hack With XSLT
http://evi1cg.me/archives/Hack_With_XSLT.html
BurpSuite 的反射文件下载检测插件
https://github.com/onurkarasalihoglu/Reflected-File-Download-Checker-BurpSuite-Plugin
基于约束的SQL攻击
https://dhavalkapil.com/blogs/SQL-Attack-Constraint-Based/
SwiftMailer <= 5.4.5-DEV远程代码执行漏洞 (CVE-2016-10074)
https://legalhackers.com/advisories/SwiftMailer-Exploit-Remote-Code-Exec-CVE-2016-10074-Vuln.html
一些钓鱼欺骗技巧
https://d.uijn.nl/2016/12/28/shortcuts-another-neat-phishing-trick/
基于Peach Fuzzing框架增强Meta文件fuzz的开源项目
https://github.com/payatu/EMFFuzzer
介绍serene
https://summitroute.com/blog/2016/12/22/introducing_serene/
Hadoop safari: Hunting for vulnerabilities
web应用程序的测试方法,当然也有对应的测试工具
https://blog.zsec.uk/ltr101-methodologies/
https://blog.zsec.uk/101-web-testing-tooling/
对 "Woolim – Lifting the Fog on DPRK’s Latest Tablet PC"议题的一些想法记录
https://insinuator.net/2016/12/woolim-lifting-the-fog-on-dprks-latest-tablet-pc/
如何在KALI上编译WINDOWS下的利用程序代码
GSM包分析框架
https://github.com/shwetankarora/Gsm-Packets-Analysis-Framework
如何使用dom-xss绕过CSP nonces
http://sirdarckcat.blogspot.com/2016/12/how-to-bypass-csp-nonces-with-dom-xss.html
最新版本的SDK,开发工具,WINDOWS下载地址
https://developer.microsoft.com/en-us/windows/downloads/virtual-machines
软件安全:Anti-Patching
http://resources.infosecinstitute.com/software-security-anti-patching/
如何在ubuntu 16.04上配置docker
http://www.linuxtechi.com/how-to-setup-docker-on-ubuntu-server-16-04/
CERT瑞士暂时缺乏Tofsee僵尸网络
https://www.bleepingcomputer.com/news/security/cert-switzerland-temporarily-cripples-tofsee-botnet/