【知识】4月27日 - 每日安全知识热点

http://p6.qhimg.com/t017313015b51e6034e.png

热点概要:Jenkins发布安全公告修复多个漏洞、谍影追踪:全球首例UEFI_BIOS木马分析McAfee Endpoint Security和SiteAdvisor Enterprise的UXSS移动平台流量黑产研究——流量作弊与流量泡沫黑客如何逃避恶意软件和反网络钓鱼黑名单的限制Imgur:通过一处命令注入导致的远程代码执行使用FRIDA III侵入ANDROID应用程序

国内热词(以下内容部分摘自http://www.solidot.org/):


安全公司释出工具远程移除 NSA 后门

中国第一艘国产航母下水

资讯类:


新的Android恶意软件感染了200万Google Play商店用户

http://thehackernews.com/2017/04/android-malware-playstore.html

技术类:


谍影追踪:全球首例UEFI_BIOS木马分析

http://bobao.360.cn/learning/detail/3779.html

Jenkins发布安全公告修复多个漏洞,包括一个反序列化导致的RCE和一个任意用户登录、XStream导致的Java进程的crash

https://jenkins.io/security/advisory/2017-04-26/

McAfee Endpoint Security和SiteAdvisor Enterprise的UXSS

http://blog.malerisch.net/2017/04/uxss-mcafee-endpoint-security-and-site-advisor-cve-2016-8011.html

BrickerBot.3:一种新的僵尸网络使IoT设备发生PDoS永久性拒绝服务

https://security.radware.com/ddos-threats-attacks/brickerbot-pdos-back-with-vengeance/

对nomx设备的安全测试

https://scotthelme.co.uk/nomx-the-worlds-most-secure-communications-protocol/

移动平台流量黑产研究——流量作弊与流量泡沫

http://bobao.360.cn/news/detail/4138.html

黑客如何逃避恶意软件和反网络钓鱼黑名单的限制

https://medium.com/@apozy/how-hackers-evade-malware-and-anti-phishing-blacklists-4fee6d91fcd9

leviathan:资产安全审计工具

https://github.com/leviathan-framework/leviathan

使用FRIDA III侵入ANDROID应用程序

https://www.codemetrix.net/hacking-android-apps-with-frida-3/

Imgur:通过一处命令注入导致的远程代码执行

https://hackerone.com/reports/212696

Cobalt Strike tutorial下针对CVE-2017-0199利用

https://www.secforce.com/blog/2017/04/cve-2017-0199-exploitation-with-cobalt-strike-tutorial/

Orcus VM的解题步骤

http://www.hackingarticles.in/hack-orcus-vm-ctf-challenge/

Evilginx v.1.0:获取任何Web服务的网络钓鱼凭证和会话cookie的中间人攻击框架

https://github.com/kgretzky/evilginx

ELF代码注入,二进制加密,运行时解密的基础教程

http://www.pinkstyle.org/elfcrypt.html

对攻击沙特阿拉伯背后的Shamoon活动的简要分析

https://securingtomorrow.mcafee.com/executive-perspectives/state-shamoon-actor-different-lines/

IrfanView 4.44的JPEG 2000解析器功能中存在溢出漏洞导致任意代码执行

http://www.talosintelligence.com/reports/TALOS-2017-0310/

hitb2017ams:google的XSSGame的writeup

https://www.shielder.it/blog/xssgame-google-hitb2017ams-writeup/

Android逆向之旅—获取加固后应用App的所有方法信息

http://www.wjdiankong.cn/android%E9%80%86%E5%90%91%E4%B9%8B%E6%97%85-%E8%8E%B7%E5%8F%96%E5%8A%A0%E5%9B%BA%E5%90%8E%E5%BA%94%E7%94%A8app%E7%9A%84%E6%89%80%E6%9C%89%E6%96%B9%E6%B3%95%E4%BF%A1%E6%81%AF/

(完)