热点概要:php加密安全开发实践、任何jQuery Mobile的网站重定向的时候都存在一个xss漏洞、【漏洞预警】利用Node.js反序列化的漏洞执行远程代码(含演示视频)、从弱类型利用以及对象注入到SQL注入、渗透技巧——快捷方式文件的参数隐藏技巧、机器学习用于用户输入的模糊测试
国内热词(以下内容部分摘自http://www.solidot.org/):
黑客利用 WordPress 漏洞纂改上百万网页
福岛核电站的辐射量仍然惊人,法国核电站发生火灾
共和党据称使用自毁消息应用防止泄密
中国最大的两家比特币交易所暂停比特币取现
资讯类:
美国最大的快餐三明治连锁店之一Arby's餐厅集团确认pos系统感染恶意软件
http://securityaffairs.co/wordpress/56149/data-breach/arbys-restaurant-group-card-breach.html
任何jQuery Mobile的网站重定向的时候都存在一个xss漏洞
http://securityaffairs.co/wordpress/56144/hacking/jquery-mobile-xss.html
技术类:
fWaf 机器学习驱动的web应用防火墙
http://fsecurify.com/fwaf-machine-learning-driven-web-application-firewall/
php加密安全开发实践
https://paragonie.com/blog/2017/02/cryptographically-secure-php-development
汽车安全的一些论文和研究
http://illmatics.com/carhacking.html
CIRCLean:将不受信任的U盘文档转化成干净的文档存储在受信任U盘
https://www.circl.lu/projects/CIRCLean/
HP Smart Storage Administrator 2.30.6.0 远程命令注入
https://www.exploit-db.com/exploits/41297/
关于git你需要知道的
https://progit2.s3.amazonaws.com/en/2016-03-22-f3531/progit-en.1084.pdf
自动化枚举工具
https://github.com/Ohmjones/DarkEnumeration
过杀毒软件的另一种方式
https://github.com/EgeBalci/HERCULES
使用EVENTVWR.EXE和注册表劫持绕过UAC
https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/
利用开发环境调试漏洞
https://improsec.com/blog//exploit-development-environment
机器学习用于用户输入的模糊测试
https://arxiv.org/pdf/1701.07232.pdf
Android: Inter-process munmap in android.util.MemoryIntArray
https://bugs.chromium.org/p/project-zero/issues/detail?id=1001
渗透技巧——快捷方式文件的参数隐藏技巧
Symbolic execution 符号执行
https://yurichev.com/blog/symbolic/
【漏洞预警】利用Node.js反序列化的漏洞执行远程代码(含演示视频)
http://bobao.360.cn/learning/detail/3488.html
从弱类型利用以及对象注入到SQL注入