热点概要:一个介绍主流漏洞悬赏平台、安全书籍、常见安全工具及漏洞类型的CheatSheet、BypassD盾IIS防火墙SQL注入防御(多姿势)、一款智能家居设备的远程命令执行漏洞分析、Exe2Image:一个可以将exe转换为jpeg图像文件的小程序、Kingslayer – A supply chain attack、Netgear ReadyNAS监控未认证远程命令执行漏洞
国内热词(以下内容部分来自:http://www.solidot.org/ )
俄罗斯黑客利用 Google AMP 漏洞钓鱼
雅虎开源其搜索引擎 Vespa
中国 Android 应用利用 Dirty Cow 漏洞植入后门
技术类:
一个介绍主流漏洞悬赏平台、安全书籍、常见安全工具及漏洞类型的CheatSheet
https://github.com/EdOverflow/bugbounty-cheatsheet
BypassD盾IIS防火墙SQL注入防御(多姿势)
https://xianzhi.aliyun.com/forum/read/2173.html
Kingslayer – A supply chain attack — Part 1
http://hackdog.me/article/Kingslayer-A_supply_chain_attack–Part_1.html
开源无效流量检测项目
NuCypher KMS开发路线图
https://medium.com/@NuCypher/nucypher-kms-development-roadmap-fed689b13dfa
参数特定XSS的故事
http://www.noob.ninja/2017/09/story-of-parameter-specific-xss.html
Phrack:虚拟机逃逸,QEMU 案例研究
https://www.exploit-db.com/papers/42883/
恶意文档利用新的反虚拟机和防沙盒技术
应用加密加固
https://bettercrypto.org/static/applied-crypto-hardening.pdf
看我如何利用隐藏的输入点入侵DePauw大学
https://hackernoon.com/how-i-hacked-depauw-university-using-hidden-inputs-79377c3dca7e
通过数据包端口号进行数据渗出:PacketKnockOut
https://n0where.net/data-exfiltration-via-packet-port-numbers-packetknockout/
一篇针对IDS和IPS的科普文
https://securitydocs.com/network-based-intrusion-detection-and-intrusion-prevention-systems/5061/
一款智能家居设备的远程命令执行漏洞分析
https://forsec.nl/2017/09/smart-home-remote-command-execution-rce/
Technology preview: Private contact discovery for Signal
https://signal.org/blog/private-contact-discovery/
Exe2Image:一个可以将exe转换为jpeg图像文件的小程序
https://github.com/OsandaMalith/Exe2Image
Advanced 'all in memory' CryptoWorm
https://marcoramilli.blogspot.com/2017/09/advanced-all-in-memory-cryptoworm.html
Netgear ReadyNAS监控未认证远程命令执行漏洞
https://blogs.securiteam.com/index.php/archives/3409