热点概要:自动绑定漏洞和spring MVC、通过iframe进行Referrer欺骗、恶意RTF如何破坏安全引擎、窃取NTLM HASH的多种奇妙方法、利用背景流量数据(contexual flow data)识别TLS加密恶意流量
国内热词(以下内容部分摘自http://www.solidot.org/):
赛门铁克抨击 Google(证书的事)
中国共享单车进军美国
英国内政大臣称消息应用的端对端加密是不可接受的
资讯类:
黑市上DDOS服务是怎么卖的?
http://securityaffairs.co/wordpress/57429/cyber-crime/cost-ddos-attack-service.html
CVE-2017-0022 Windows漏洞被黑客组织 AdGholas使用进行攻击
http://securityaffairs.co/wordpress/57408/malware/cve-2017-0022-flaw-adgholas.html
技术类:
自动绑定漏洞和spring MVC
https://agrrrdog.blogspot.com/2017/03/autobinding-vulns-and-spring-mvc.html
https://www.youtube.com/watch?v=l5hU1Hq-gsA
通过iframe进行Referrer欺骗
https://www.brokenbrowser.com/referer-spoofing-patch-bypass/
hack智能电视
https://www.youtube.com/watch?v=bOJ_8QHX6OA
Moloch是一个开源处理网络数据包系统
metasploit新更新的一些命令、模块、网络钓鱼等等
https://community.rapid7.com/community/metasploit/blog/2017/03/24/metasploit-wrapup
CORS分享指南
https://medium.com/statuscode/cors-a-guided-tour-4e72230a8739#
窃取NTLM HASH的多种奇妙方法
https://osandamalith.com/2017/03/24/places-of-interest-in-stealing-netntlm-hashes/
恶意RTF如何破坏安全引擎
http://blog.talosintelligence.com/2017/03/how-malformed-rtf-defeats-security.html
Mobile Security Research – Recap 2016
http://www.virqdroid.com/2017/03/mobile-security-research-recap-2016.html
动手写一个Linux Debugger 第二部分:断点
http://blog.tartanllama.xyz/c++/2017/03/24/writing-a-linux-debugger-breakpoints/
x64dbg插件用于检测安全设置
https://github.com/klks/checksec
kadimus:本地文件扫描和利用工具
http://www.darknet.org.uk/2017/03/kadimus-lfi-scanner-exploitation-tool/
做情报收集不错的学习资源
https://github.com/ThreatHuntingProject/ThreatHunting
泛微 E-Mobile Ognl 表达式注入
http://www.sh0w.top/index.php/archives/14/
利用背景流量数据(contexual flow data)识别TLS加密恶意流量
http://www.arkteam.net/?p=1631
某种流量劫持攻击的原理简述和演示
http://mp.weixin.qq.com/s/cq-Hg7iNB4FP06JKWS7Rjg
Miele 洗衣机PST10 WebServer的目录遍历