热点概要:JBoss AS 3/4/5/6远程命令执行漏洞、七种方式利用远程文件包含漏洞、恶意垃圾邮件(malspam)的分析、安装“万能解码器”还原真实“解码”、百度承认旗下网站暗藏恶意代码:已调查清除 向用户致歉
国内热词(以下内容部分摘自http://www.solidot.org/):
Google 将收件方的 Gmail 附件容量增至 50MB
云计算: Amazon S3 下线是一行命令输错导致的
安全: 百度声称隐藏恶意程序的下载器是第三方开发的
资讯类:
Google今年的奖励计划支出提升50%,微软直接将奖励计划支出为之前的两倍
http://thehackernews.com/2017/03/google-bug-bounty.html
百度承认旗下网站暗藏恶意代码:已调查清除 向用户致歉
http://tech.sina.com.cn/i/2017-03-03/doc-ifycaasy7427296.shtml
技术类:
JBoss AS 3/4/5/6远程命令执行漏洞
https://www.exploit-db.com/exploits/36575/
WordPress小于4.7.1 用户id,用户名枚举漏洞
https://www.exploit-db.com/exploits/41497/
Nebula漏洞利用套件
http://malware.dontneedcoffee.com/2017/03/nebula-exploit-kit.html
七种方式利用远程文件包含漏洞
http://www.hackingarticles.in/7-ways-exploit-rfi-vulnerability/
usql是多款SQL数据库的通用命令行界面工具
基于Arduino的NAND芯片读取器
http://hwreblog.com/projects/arduino_nand_reader.html
恶意软件利用PowerSploit漏洞框架
http://blog.jpcert.or.jp/2017/03/malware-leveraging-powersploit.html
Consistent Hash Rings Explained Simply
https://akshatm.svbtle.com/consistent-hash-rings-theory-and-implementation
密码提取工具,提取密码的历史hash
The Collapse of the UNIX Philosophy
https://kukuruku.co/post/the-collapse-of-the-unix-philosophy/
经典的数据越界在实际应用中的漏洞
https://hackerone.com/reports/176461
恶意垃圾邮件(malspam)的分析
http://malware-traffic-analysis.net/2017/03/03/index.html
内网安全之域服务账号破解实践
http://bobao.360.cn/learning/detail/3564.html
Compromising Synergy clients with a rogue Synergy server
https://www.n00py.io/2017/03/compromising-synergy-clients-with-a-rogue-synergy-server/
安装“万能解码器”还原真实“解码”
http://bobao.360.cn/learning/detail/3560.html
六种常用的网络流量特征提取工具