【知识】3月4日 - 每日安全知识热点

http://p6.qhimg.com/t017313015b51e6034e.png

热点概要:JBoss AS 3/4/5/6远程命令执行漏洞七种方式利用远程文件包含漏洞恶意垃圾邮件(malspam)的分析安装“万能解码器”还原真实“解码”、百度承认旗下网站暗藏恶意代码:已调查清除 向用户致歉

国内热词(以下内容部分摘自http://www.solidot.org/):


Google 将收件方的 Gmail 附件容量增至 50MB

云计算: Amazon S3 下线是一行命令输错导致的

安全: 百度声称隐藏恶意程序的下载器是第三方开发的

资讯类:


Google今年的奖励计划支出提升50%,微软直接将奖励计划支出为之前的两倍

http://thehackernews.com/2017/03/google-bug-bounty.html

百度承认旗下网站暗藏恶意代码:已调查清除 向用户致歉

http://tech.sina.com.cn/i/2017-03-03/doc-ifycaasy7427296.shtml

技术类:


JBoss AS 3/4/5/6远程命令执行漏洞

https://www.exploit-db.com/exploits/36575/

WordPress小于4.7.1  用户id,用户名枚举漏洞

https://www.exploit-db.com/exploits/41497/

Nebula漏洞利用套件

http://malware.dontneedcoffee.com/2017/03/nebula-exploit-kit.html

七种方式利用远程文件包含漏洞

http://www.hackingarticles.in/7-ways-exploit-rfi-vulnerability/

usql是多款SQL数据库的通用命令行界面工具

https://github.com/knq/usql

基于Arduino的NAND芯片读取器

http://hwreblog.com/projects/arduino_nand_reader.html

恶意软件利用PowerSploit漏洞框架

http://blog.jpcert.or.jp/2017/03/malware-leveraging-powersploit.html

Consistent Hash Rings Explained Simply

https://akshatm.svbtle.com/consistent-hash-rings-theory-and-implementation

密码提取工具,提取密码的历史hash

https://blog.didierstevens.com/2017/03/03/practice-ntds-dit-file-part-9-extracting-password-history-hashes/

The Collapse of the UNIX Philosophy

https://kukuruku.co/post/the-collapse-of-the-unix-philosophy/

经典的数据越界在实际应用中的漏洞

https://hackerone.com/reports/176461

恶意垃圾邮件(malspam)的分析

http://malware-traffic-analysis.net/2017/03/03/index.html

内网安全之域服务账号破解实践

http://bobao.360.cn/learning/detail/3564.html

Compromising Synergy clients with a rogue Synergy server

https://www.n00py.io/2017/03/compromising-synergy-clients-with-a-rogue-synergy-server/

安装“万能解码器”还原真实“解码”

http://bobao.360.cn/learning/detail/3560.html

六种常用的网络流量特征提取工具

http://mp.weixin.qq.com/s/QsteT_86uwViXSFXspJHJQ

(完)