热点概要:通过DMA攻击Linux设备的UEFI运行时服务控制设备、wordpress发布最新4.7.1进行大量安全更新,建议用户升级、未修补的LSASS远程拒绝服务(MS16-137),对抗杀软的两篇不错的文章、远程漏洞利用:无需借助套接字的Shellcode
国内热词(以下内容部分摘自http://www.solidot.org/):
用GPU处理数据库,性能提升百倍
Cloudflare证实收到FBI的国家安全信函
情报称俄罗斯与特朗普有秘密联系
五角大楼成功测试无人机蜂群
资讯类:
wordpress发布最新4.7.1进行大量安全更新,建议用户升级
https://wordpress.org/news/2017/01/wordpress-4-7-1-security-and-maintenance-release/
Juniper SRX防火墙更新失败的时候无需密码可用root登录
http://securityaffairs.co/wordpress/55252/hacking/juniper-srx.html
Google将在RSA会议上发布关于Android、云平台、gmail和企业边界的安全议题
https://cloudplatform.googleblog.com/2017/01/security-talks-at-Google-during-RSA-Conference.html
浏览器的自动填充功能可能会泄漏用户的信息
http://thehackernews.com/2017/01/browser-autofill-phishing.html
技术类:
捕获攻击者的漏洞利用套件
https://blog.opendns.com/2017/01/11/catching-exploit-kit-landers/
通过LibFuzzer在TensorFlow中找bugs
https://da-data.blogspot.com/2017/01/finding-bugs-in-tensorflow-with.html
关于威胁情报资源的集合
https://github.com/hslatman/awesome-threat-intelligence
Windows DLL注入基础
http://blog.opensecurityresearch.com/2013/01/windows-dll-injection-basics.html
通过DMA攻击Linux设备的UEFI运行时服务控制设备
http://blog.frizk.net/2017/01/attacking-uefi-and-linux.html
对抗杀软的两篇不错的文章
https://pentest.blog/art-of-anti-detection-1-introduction-to-av-detection-techniques/
https://pentest.blog/art-of-anti-detection-2-pe-backdoor-manufacturing/
如何通过配置文件简化LetsEncrypt证书的扩展和更新
Acunetix 发布免费的测试工具,主要包括HTTP Editor、HTTP Sniffer、HTTP FuzzerBlind SQL Injector、Subdomain Scanner等
http://www.acunetix.com/blog/news/acunetix-release-web-site-security-pen-testing-tools-free/
未修补的LSASS远程拒绝服务(MS16-137)
https://www.coresecurity.com/blog/unpatched-lsass-remote-denial-service-ms16-137
为什么你的门禁系统不应该开放到互联网上?
https://labs.mwrinfosecurity.com/blog/when-biometric-access-control-devices-get-tcpip/
初探chrome插件
http://linux.im/2017/01/09/Chrome-Extensions-Probe.html
点我的链接就能弹你一脸计算器
远程漏洞利用:无需借助套接字的Shellcode