热点概要:如何hacking一个复杂的系统、Bottle HTTP 头注入漏洞探究、发现每个facebook用户的邮箱地址、 你必须了解的漏洞利用缓解及对抗技术、NETGEAR WNR2000路由器发现栈溢出漏洞、BurpSuite 1.7.15版发布、用于做IOT安全评估的docker平台
国内热词(以下内容部分摘自http://www.solidot.org/):
雇员起诉Google的非法保密政策
前摩门教徒发布摩门Wikileaks
埃及屏蔽加密消息应用Signal
巴诺书店的最新平板被发现预装了广升的间谍软件
资讯类:
乌克兰第二次停电,怀疑和黑客行为有关
http://thehackernews.com/2016/12/power-outage-ukraine.html
Crook 使用他的家庭IP进行网络银行欺诈,面临5年监禁
巴基斯坦黑客通过DNS劫持GOOGLE网站
http://news.softpedia.com/news/pakistani-hackers-hijack-google-website-511187.shtml
数据库泄露类:
Ethereum(以太坊)论坛被黑,数据泄露
技术类:
铁人下载系统代码审计
Bottle HTTP 头注入漏洞探究
https://www.leavesongs.com/PENETRATION/bottle-crlf-cve-2016-9964.html
发现每个facebook用户的邮箱地址
http://www.dawgyg.com/2016/12/21/disclosing-the-primary-email-address-for-each-facebook-user/
科普 | 你必须了解的漏洞利用缓解及对抗技术
https://jaq.alibaba.com/community/art/show?articleid=678
【技术分享】逆向工具综述(上)(下)
http://bobao.360.cn/learning/detail/3303.html
http://bobao.360.cn/learning/detail/3307.html
JavaScript 引擎漏洞案例收集
https://github.com/tunz/js-vuln-db
NETGEAR WNR2000路由器发现栈溢出漏洞
https://raw.githubusercontent.com/pedrib/PoC/master/advisories/netgear-wnr2000.txt
使用树梅派实现小规模的蜜罐网络
https://www.redpill-linpro.com/sysadvent/2016/12/19/raspberry-pi-honeynet.html
新的XSSI攻击向量
https://www.hurricanelabs.com/blog/new-xssi-vector-untold-merits-of-nosniff
使用反向工程技术实现一个Linux bind shell
https://github.com/antire-book/dont_panic
使用100行bash脚本实现一个类似docker容器的功能
https://github.com/p8952/bocker
用于做IOT安全评估的docker平台
https://github.com/tylerph3/IoTAnalysis
TheHive:一个开源的,免费的事件响应平台
https://github.com/CERT-BDF/TheHive
加固POSTGRESQL数据库辅导手册
http://www.ibm.com/developerworks/library/os-postgresecurity/
加密聊天软件signal发布android新版,支持更多的涂鸦图片,贴纸,和规避常见的网络审查
https://whispersystems.org/blog/doodles-stickers-censorship/
你一直使用ipython,也可以尝试下ptipython
https://yoongkang.com/blog/use-ptipython-a-better-python-shell/
反向工程 C++的虚函数:第一部分
https://alschwalm.com/blog/static/2016/12/17/reversing-c-virtual-functions/
Burp Suite 1.7.15 发布,支持自定义字典和精确的内容检测
http://releases.portswigger.net/2016/12/1715.html
评选出的2016年的TOP 10黑客工具
http://resources.infosecinstitute.com/top-ten-hacking-tools-of-2016/
2016年手机移动面对的10大风险
http://www.techrepublic.com/article/the-top-10-mobile-risks-of-2016/
windows版的RTL-SDR驱动现在可以下载了
http://www.rtl-sdr.com/windows-version-of-the-fully-exposed-rtl-sdr-driver-now-available/
使用RTL-SDR和流量检测软件分析868 MHZ的流量
Google Chrome: renderer->extension privesc via sync
https://bugs.chromium.org/p/project-zero/issues/detail?id=996
使用Import API 和 Fuzzy Hashing实现恶意软件分类
http://blog.jpcert.or.jp/.s/2016/05/classifying-mal-a988.html
你认为TOR比VPN安全?有时候的网络情况不是这样的
https://medium.com/@thegrugq/tor-and-its-discontents-ef5164845908#.dok1bnh64
黑客复杂的系统
http://carnal0wnage.attackresearch.com/2016/12/hacking-complex-systems.html
使用Ubiquiti EdgeRouter, iptables 和 rrdtool实现流量计费
Pentest Tips:
内网环境中,如果LINUX主机没有安装nmap,可以借助nc实现端口扫描
for i in {101..102}; do nc -vv -n -w 1 192.168.56.$i 21-25 -z; done