热点概要:Docker镜像漏洞研究分析、Windows: COM Session Moniker EoP、分析Android PHA家族Chamois的欺诈行为 、在任天堂Switch and 苹果iOS 9.3利用webkit漏洞CVE-2016-4657、新型Web攻击技术:RPO攻击初探、S2-045 漏洞分析、Java RMI 反序列化漏洞检测工具的编写
国内热词(以下内容部分摘自http://www.solidot.org/):
大补丸,多家软件厂商推送安全补丁
网络安全专家起诉前雇主无情
官媒警告 QR 码欺骗
资讯类:
加拿大税务网站在遭到Apache Struts2-045攻击后离线
Google最近从其Play商店中移除了一些恶意广告应用程式
https://threatpost.com/google-eliminates-android-adfraud-botnet-chamois/124311/
技术类:
窃取trello中的Twitter,Github等加密令牌
https://hethical.io/trello-bug-bounty-stealing-the-power-up-tokens-github-twitter/
将渗透测试的过程记录在Elasticsearch中
https://qbox.io/blog/elk-penetration-testing-workflow-elasticsearch-python
Assembla的会话接管漏洞
https://medium.com/@yvoschaap/assembla-security-exploit-session-take-over-fca6697c095a
Json Web令牌的实用密码分析和Galois计数器模式的实现
https://www.cs.bris.ac.uk/Research/CryptographySecurity/RWC/2017/nguyen.quan.pdf
Docker镜像漏洞研究分析
https://www.federacy.com/docker_image_vulnerabilities
Windows: COM Session Moniker EoP
https://bugs.chromium.org/p/project-zero/issues/detail?id=1021
分析Android PHA家族Chamois的欺诈行为
https://security.googleblog.com/2017/03/detecting-and-eliminating-chamois-fraud.html
PegaSwitch:任天堂游戏机的漏洞利用工具包
https://github.com/ReSwitched/PegaSwitch
S2-045 漏洞分析
NJCTF 2017 Writeup
http://bobao.360.cn/ctf/detail/188.html
Java RMI 反序列化漏洞检测工具的编写
http://bobao.360.cn/learning/detail/3598.html
MDwiki <= v0.6.2 DomXSS Vulnerability
https://xianzhi.aliyun.com/forum/read/829.html
新型Web攻击技术:RPO攻击初探
http://mp.weixin.qq.com/s/P-ncFmNZfBteJBQr8INzsw
CVE-2017-5638进一步调试分析
https://www.immun.io/blog/will-it-pwn-cve-2017-5638-remote-code-execution-in-apache-struts-2
使用AFL和JENKINS的自动化fuzz
https://zubu.re/blog/fuzzing-automation-with-afl-and-jenkins/