热点概要:这个300美金的设备能够在30妙内窃取你的MAC密码、Nagios Core小于4.2.4版本的本地提权漏洞、百万站点受postMessage XSS漏洞影响、Verizon’s Webmail 客户端的XSS漏洞、对影子经纪人的简单采访
国内热词(以下内容部分摘自http://www.solidot.org/):
澳大利亚命令ISP屏蔽海盗湾
Kickstarter开源其Android 和 iOS 应用
大部分感染勒索软件的公司都支付了赎金
Evernote 更新隐私政策,允许雇员访问用户的未加密笔记
Microsoft Edge将默认使用HTML5
资讯类:
俄罗斯VISA站点被黑,几千用户数据泄露
对影子经纪人的简单采访
这个300美金的设备能够在30妙内窃取你的MAC密码
技术类:
Nagios Core < 4.2.4 本地提权漏洞
https://legalhackers.com/advisories/Nagios-Exploit-Root-PrivEsc-CVE-2016-9566.html
NTPD拒绝服务漏洞(CVE-2016-7434) 分析
Verizon’s Webmail 客户端的XSS漏洞
https://randywestergren.com/persistent-xss-verizons-webmail-client/
百万站点受postMessage XSS漏洞影响
https://labs.detectify.com/2016/12/15/postmessage-xss-on-a-million-sites/
iOS 10.1.1 Kernel & Root Exploit
https://bugs.chromium.org/p/project-zero/issues/detail?id=965#c2
n0js case1 writeup
http://server.n0tr00t.com/n0js/case1_writeup.txt
OpenPGP数字签名的最佳实践
https://blog.mailfence.com/openpgp-digital-signature-best-practices/
PE Section names – re-visited
http://www.hexacorn.com/blog/2016/12/15/pe-section-names-re-visited/
pinfo:命令行下可以显示Windows PE 信息的开源项目
https://github.com/silascutler/pinfo
仅仅使用WINDOWS自带的工具判断机器是否被入侵
http://909research.com/find-a-windows-infection-quickly-without-tools/
BlackEnergy组织对乌克兰银行发起恶意攻击
HP发布自动固件入侵检测和修复系统
http://h10032.www1.hp.com/ctg/Manual/c05163901
手机移动用户如何预防勒索软件的侵袭
http://blog.trendmicro.com/trendlabs-security-intelligence/mobile-ransomware-protect/
Microsoft Windows Icon 整形溢出漏洞可以导致远程代码执行
http://www.zerodayinitiative.com/advisories/ZDI-16-645/
Pentest Tips:
通过目标网站上的PDF/DOC等文件的metadata来收集用户名信息,可以借助的工具有图形界面的FOCA或命令行界面的Metagoofil
Metagoofil的用法如下:
python metagoofil.py -d example.com -t doc,pdf -l 200 -n 50 -o examplefiles -f results.htmlFOCA的使用方法和工具下载如下:
http://lifeofpentester.blogspot.com/2014/11/foca-metadata-analysis-tool.html
安全客镜像:http://bobao.360.cn/snap/20161216/foca_metadata_Analysis_Tool.pdf