每日安全动态推送(01-29)

Admin 腾讯玄武实验室 2019-01-29

Xuanwu Lab Security Daily News


  • [ Attack ]  攻击 Helm 在 Kubernetes 上的默认安装: 

    https://blog.ropnop.com/attacking-default-installs-of-helm-on-kubernetes/


  • [ Conference ]  2019 INFILTRATE 大会 演讲者及议题公布:

     http://infiltratecon.org/speakers/


  • [ Pentest ]  在未认证的情况下枚举 AWS IAM 用户和角色的方法:

    https://rhinosecuritylabs.com/aws/aws-role-enumeration-iam-p2/


  • [ Popular Software ]  ExpressVPN 发布安全审计报告并开源浏览器扩展:

    https://www.expressvpn.com/blog/browser-extension-audit-and-open-sourcing/


  • [ Programming ]  Google Haskell 101 和 102 的培训资料现已开源:

    https://twitter.com/jin_/status/1089771038093635584


  • [ SecurityReport ]  ENISA (欧盟网络信息安全局)发布的 2018 威胁全景报告:

    https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018


  • [ Tools ]  通过 iOS Frida 了解 Universal Links 和 Fuzzing URL 的方案介绍:

    https://grepharder.github.io/blog/0x03_learning_about_universal_links_and_fuzzing_url_schemes_on_ios_with_frida.html


  • [ Tools ]  Exchange2domain  - 整合了 PrivExchange 的 Exchange(CVE-2018-8581)漏洞利用工具 

  •  https://github.com/Ridter/Exchange2domain


  • [ Virtualization ]  在 Hyper-V 中 fuzzing 半虚拟化(para-virtualized)设备,来自 Microsoft:

    https://blogs.technet.microsoft.com/srd/2019/01/28/fuzzing-para-virtualized-devices-in-hyper-v/


  • [ Vulnerability ]  在最新版本上的 Exchange 权限提升漏洞、利用及缓解方法的介绍:

     https://twitter.com/bojanz/status/1089999776240885760  

    https://isc.sans.edu/forums/diary/Relaying+Exchanges+NTLM+authentication+to+domain+admin+and+more/24578/


  • [ Vulnerability ]  Cisco Talos 披露多个 WIBU SYSTEMS WubiKey 漏洞:

    https://blog.talosintelligence.com/2019/01/multiple-wibu-system-vulnerabilities.html


  • [ Web Security ]  URL 跳转漏洞的利用技巧:

    https://www.bugbountynotes.com/training/tutorial?id=1


  • [ Web Security ]  SSRF 漏洞利用介绍系列

    Part 3: https://medium.com/@madrobot/ssrf-server-side-request-forgery-types-and-ways-to-exploit-it-part-3-b0f5997e3739  

    Part 2:https://medium.com/@madrobot/ssrf-server-side-request-forgery-types-and-ways-to-exploit-it-part-2-a085ec4332c0  

    Part 1: https://medium.com/@madrobot/ssrf-server-side-request-forgery-types-and-ways-to-exploit-it-part-1-29d034c27978


  • [ WirelessSecurity ]  关于 adversarial WiFi sensing 问题的研究,如何通过 Wifi 信号来跟踪房间内的人(Paper):

     https://arxiv.org/pdf/1810.10109.pdf


  • [ MalwareAnalysis ]  Gafgyt魔高一尺,引领僵尸网络:

     https://mp.weixin.qq.com/s/wcjLGdKMR4rf2uuLEf3bYw


  • [ Browser ]  有关 Chrome 工作原理介绍的系列视频: 

    https://www.youtube.com/playlist?list=PL9ioqAuyl6UIFAdsM5KU6P-hRJdh-BPmm


  • [ Tools ]  Cobalt Strike 的命令行参数欺骗功能介绍:

     https://blog.xpnsec.com/how-to-argue-like-cobalt-strike/


  • [ Vulnerability ]  iPhone FaceTime 被发现存在一个 bug ,允许呼叫任何人,并在对方接听之前听到来自对方手机的声音: 

    https://9to5mac.com/2019/01/28/facetime-bug-hear-audio/amp/


  • [ Web Security ]  结合 Self-XSS 和配置错误的 OAuth 实现存储型 XSS: 

    https://medium.com/@nahoragg/chaining-tricky-oauth-exploitation-to-stored-xss-b67eaea4aabd


  • [ Defend ]  企业安全建设之HIDS: 

    https://www.freebuf.com/articles/es/194510.html


* 查看或搜索历史推送内容请访问: https://sec.today

* 新浪微博账号: 腾讯玄武实验室(http://weibo.com/xuanwulab)


    发送中

    本站仅按申请收录文章,版权归原作者所有
    如若侵权,请联系本站删除
    觉得不错,分享给更多人看到
    腾讯玄武实验室 热门文章:

    BadTunnel:跨网段劫持广播协议    阅读/点赞 : 3386/54

    安全动态推送春节合辑(上)    阅读/点赞 : 449/5

    每日安全动态推送(02-21)    阅读/点赞 : 392/4

    每日安全动态推送(03-13)    阅读/点赞 : 390/6

    每日安全动态推送(09-19)    阅读/点赞 : 380/4

    每日安全动态推送(10-11)    阅读/点赞 : 378/4

    每日安全动态推送(06-20)    阅读/点赞 : 368/6

    每日安全动态推送(10-19)    阅读/点赞 : 344/4

    每日安全动态推送(11-25)    阅读/点赞 : 331/4

    每日安全动态推送(07-18)    阅读/点赞 : 320/4

    腾讯玄武实验室 微信二维码

    腾讯玄武实验室 微信二维码