热点概要:orange:GitHub Enterprise SQL Injection、安装mogodb后需要注意的安全问题、LLMNR和WPAD是什么?如何在渗透测试中实践?、持久化 XSS:被 ServiceWorkers 支配的恐惧
国内热词(以下内容部分摘自http://www.cnbeta.com/):
比特币中国投资人洗牌:新入场者更有钱更专业
诺基亚首款安卓手机本月上市 售价1699元
比特币“疯涨” 平台被曝“刷量”引流
缺少诚信“互联网+募捐”沦为“互联网+欺骗”
资讯类:
美国国家情报总监(ODNI)指出普京下令网络攻击影响美国选举
http://securityaffairs.co/wordpress/55130/reports/putin-cyber-attacks.html
技术类:
orange:GitHub Enterprise SQL Injection
http://blog.orange.tw/2017/01/bug-bounty-github-enterprise-sql-injection.html
snuck:自动化发现xss漏洞工具
http://www.kitploit.com/2017/01/snuck-automatic-xss-filter-bypass.html
Safari Reader UXSS
https://alf.nu/SafariReaderUXSS
mach portal漏洞利用的一些细节
http://blog.pangu.io/mach-portal-details/
安装mogodb后需要注意的安全问题
https://docs.mongodb.com/manual/administration/security-checklist/
Wingbird rootkit分析
http://artemonsecurity.blogspot.com/2017/01/wingbird-rootkit-analysis.html
如何逆向破解sublime-text-3
http://blog.fernandodominguez.me/cracking-sublime-text-3/
Android签名机制简介
http://www.arkteam.net/?p=1487
LLMNR和WPAD是什么?如何在渗透测试中实践?
https://pentest.blog/what-is-llmnr-wpad-and-how-to-abuse-them-during-pentest/
OWASP TOP 10:安全配置错误之CORS漏洞和补丁
http://blog.securelayer7.net/owasp-top-10-security-misconfiguration-5-cors-vulnerability-patch/
Illumos系统任意内核内存读取
http://benmmurphy.github.io/blog/2017/01/06/arbitrary-kernel-memory-reads-on-illumos/
BurpSuite插件开发Tips:请求响应参数的AES加解密
http://www.mottoin.com/95091.html
持久化 XSS:被 ServiceWorkers 支配的恐惧