【知识】3月15日 - 每日安全知识热点

http://p6.qhimg.com/t017313015b51e6034e.png

热点概要:Docker镜像漏洞研究分析Windows: COM Session Moniker EoP分析Android PHA家族Chamois的欺诈行为在任天堂Switch and 苹果iOS 9.3利用webkit漏洞CVE-2016-4657、新型Web攻击技术:RPO攻击初探S2-045 漏洞分析Java RMI 反序列化漏洞检测工具的编写

国内热词(以下内容部分摘自http://www.solidot.org/):


大补丸,多家软件厂商推送安全补丁

网络安全专家起诉前雇主无情

官媒警告 QR 码欺骗

资讯类:


加拿大税务网站在遭到Apache Struts2-045攻击后离线

http://www.darkreading.com/vulnerabilities—threats/canada-takes-tax-site-offline-after-apache-struts-attacks/d/d-id/1328394

Google最近从其Play商店中移除了一些恶意广告应用程式

https://threatpost.com/google-eliminates-android-adfraud-botnet-chamois/124311/

技术类:


窃取trello中的Twitter,Github等加密令牌

https://hethical.io/trello-bug-bounty-stealing-the-power-up-tokens-github-twitter/

将渗透测试的过程记录在Elasticsearch中

https://qbox.io/blog/elk-penetration-testing-workflow-elasticsearch-python

Assembla的会话接管漏洞

https://medium.com/@yvoschaap/assembla-security-exploit-session-take-over-fca6697c095a

Json Web令牌的实用密码分析和Galois计数器模式的实现

https://www.cs.bris.ac.uk/Research/CryptographySecurity/RWC/2017/nguyen.quan.pdf

Docker镜像漏洞研究分析

https://www.federacy.com/docker_image_vulnerabilities

Windows: COM Session Moniker EoP

https://bugs.chromium.org/p/project-zero/issues/detail?id=1021

分析Android PHA家族Chamois的欺诈行为

https://security.googleblog.com/2017/03/detecting-and-eliminating-chamois-fraud.html

PegaSwitch:任天堂游戏机的漏洞利用工具包

https://github.com/ReSwitched/PegaSwitch

S2-045 漏洞分析

http://paper.seebug.org/247/

NJCTF 2017 Writeup

http://bobao.360.cn/ctf/detail/188.html

Java RMI 反序列化漏洞检测工具的编写

http://bobao.360.cn/learning/detail/3598.html

MDwiki <= v0.6.2 DomXSS Vulnerability

https://xianzhi.aliyun.com/forum/read/829.html

新型Web攻击技术:RPO攻击初探

http://mp.weixin.qq.com/s/P-ncFmNZfBteJBQr8INzsw

CVE-2017-5638进一步调试分析

https://www.immun.io/blog/will-it-pwn-cve-2017-5638-remote-code-execution-in-apache-struts-2

使用AFL和JENKINS的自动化fuzz

https://zubu.re/blog/fuzzing-automation-with-afl-and-jenkins/

(完)