热点概要:Linux 应用权限不当可提权系列漏洞分析、UXSS on Microsoft Edge: 冒险在一个无尽的世界、XSS Bypass Cookbook、下一代office恶意软件
国内热词(以下内容部分摘自http://www.solidot.org/):
Chrome向中国用户推荐搜狗搜索
三星将通过OTA更新关闭Galaxy Note 7的充电
京东调查用户数据大规模泄漏
在中国,获取一个人的隐私数据极其简单
Linux Kernel 4.9发布
资讯类:
《概念證明應用程式》即便手機設定成不接受來自Google Play以外的應用程式,竟也可以偷偷安裝應用程式!
http://blog.trendmicro.com.tw/?p=38685
技术类:
Linux 应用权限不当可提权系列漏洞分析
http://xlab.baidu.com/linux-app-file-permissions-security/
[*.fantasysports.yahoo.com]所有子站存有存储型XSS
http://dawgyg.com/2016/12/07/stored-xss-affecting-all-fantasy-sports-fantasysports-yahoo-com-2/
UXSS on Microsoft Edge: 冒险在一个无尽的世界
https://www.brokenbrowser.com/uxss-edge-domainless-world/
蓝牙攻击商业级电子锁
http://www.somersetrecon.com/blog/2016/10/14/electronic-safe-lock-analysis-part-2-
Pocuito – A little web extension
http://blog.tunnelshade.in/2016/12/pocuito-extension.html
Apple iOS/tvOS/watchOS 通过证书实现远程内存损坏
https://cxsecurity.com/issue/WLB-2016110046
Mirai 源码分析
【技术分享】NetGear R系列多款路由器远程命令注入漏洞分析
http://bobao.360.cn/learning/detail/3287.html
[Web安全]【独家】XSS Bypass Cookbook
https://xianzhi.aliyun.com/forum/read/536.html
在c#使用加密的payload,可以绕过大部分杀软
https://www.linkedin.com/pulse/bypass-all-anti-viruses-encrypted-payloads-c-damon-mohammadbagher
SECCON CTF 2016 Quals: Crypto 300 AlphaComplex 1 writeup
https://gist.github.com/elliptic-shiho/9b0d5c59570d5b660e8a8ed3f428af2f
分析 Mac OS X 上的skype后门
https://www.trustwave.com/Resources/SpiderLabs-Blog/A-Backdoor-in-Skype-for-Mac-OS-X/
Word Up! Microsoft Word OneTableDocumentStream Underflow
http://srcincite.io/blog/2016/12/13/word-up-microsoft-word-onetabledocumentstream-underflow.html
PHP 7.0.13中的unserialize() 存有UAF漏洞的POC
https://cxsecurity.com/issue/WLB-2016120073
下一代office恶意软件
使用SNES Ricoh 5A22 处理器的opcodes渗透linux?
https://scarybeastsecurity.blogspot.in/2016/12/redux-compromising-linux-using-snes.html
安全客本地镜像:http://bobao.360.cn/snap/20161214/Redux_compromising_Linux.pdf
windows平台上的恶意广告联盟,andorid设备攻击家庭路由器