当前位置:安全客 >> 安全周报

360网络安全周报第120期



安全资讯

  • 【重磅推荐】安全客2017季刊-第2期,深度干货不看后悔
    【重磅推荐】安全客2017季刊-第2期,深度干货不看后悔

    安全客季刊收录了来自多平台数十篇优秀技术文章,由多位业内大咖倾情推荐,是安全从业者和爱好者不容错过的技术刊物!

    来源:安全客 发布时间:2017-07-15 10:46:52

  • 【重大事件】荷兰警方查封全球最大暗网黑市,订单信息或被……
    【重大事件】荷兰警方查封全球最大暗网黑市,订单信息或被……

    在过去的四周里,荷兰国家警察的暗网单位和国家高科技犯罪单位已经找到了并接管了Hansa市场。他们修改了源代码,以捕获cleartext密码、pgp加密的订单信息、比特币、ip地址和其他相关信息,这些信息可能帮助世界各地的执法机构识别这个市场的用户。

    来源:thehackerne... 发布时间:2017-07-24 14:17:02

  • 【漏洞预警】邪恶的常春藤:一个影响数百万IoT设备的漏洞(含演示视频)
    【漏洞预警】邪恶的常春藤:一个影响数百万IoT设备的漏洞(含演示视频)

    Axis Communications 是全球最大的安全网络摄像头制造商之一,在上周研究M3004型号的安全摄像头的时候,我们发现了一个堆栈缓冲区溢出漏洞(CVE-2017-9765),我们称它为“邪恶的常春藤”,这个漏洞可以造成远程代码执行,允许攻击者远程访问视频、阻止摄像头所有者访问摄像头的视频。

    来源:senr.io 发布时间:2017-07-19 20:59:48


安全圈活动

安全知识

  • 【漏洞分析】CVE-2017-9765:深入分析一个影响数百万IoT设备的漏洞(含演示视频)
    【漏洞分析】CVE-2017-9765:深入分析一个影响数百万IoT设备的漏洞(含演示视频)

    Axis Communications 是全球最大的安全网络摄像头制造商之一,在上周研究M3004型号的安全摄像头的时候,我们发现了一个堆栈缓冲区溢出漏洞(CVE-2017-9765),我们称它为“邪恶的常春藤”,这个漏洞可以造成远程代码执行,允许攻击者远程访问视频、阻止摄像头所有者访问摄像头的视频。本篇文章为针对该漏洞的深入分析。

    发布时间: 2017-07-19 21:29:58 点赞(0) 收藏

  • 【技术分享】jackson反序列化详细分析
    【技术分享】jackson反序列化详细分析

    Jackson是一套开源的java序列化与反序列化工具框架,可将java对象序列化为xml和json格式的字符串及提供对应的反序列化过程。本篇文章为对jackson反序列化漏洞的详细分析。

    发布时间: 2017-07-18 15:00:11 点赞(0) 收藏

  • 【技术分享】如何检测使用USB设备创建的隐藏网络
    【技术分享】如何检测使用USB设备创建的隐藏网络

    时至今日,许多企业和政府机构都建有通信隔离网络或者在不同网络之间使用受限数据流。这些计算机网络都是针对特定环境创建的,因为这些环境中可能包含非常特别或者非常重要的信息,比如工业控制系统、处理特定数据的高度安全环境或者符合安全标准的生产网络等。本文分析了此类隐藏网络(Hidden Network)的可能性,介绍了如何检测此类网络的方法,并且介绍了如何在企业网络中对此类网络进行防护。

    发布时间: 2017-07-18 09:58:39 点赞(0) 收藏

  • 【木马分析】顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记
    【木马分析】顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

    QQ粘虫是已经流行多年的盗号木马,它会伪装QQ登陆界面,诱骗受害者在钓鱼窗口提交账号密码。近期,360QVM引擎团队发现一支专门攻击建筑行业人群的QQ粘虫变种,它伪装为招标文档,专门在一些建筑/房产行业聊天群里传播。本篇文章为针对该木马的分析。

    发布时间: 2017-07-20 12:19:58 点赞(0) 收藏

  • 【技术分享】PHP反序列化漏洞
    【技术分享】PHP反序列化漏洞

    本篇文章为针对PHP反序列化漏洞的介绍与分析。

    发布时间: 2017-07-19 13:57:07 点赞(0) 收藏

  • 【技术分享】PostgreSQL渗透测试指南
    【技术分享】PostgreSQL渗透测试指南

    PostgreSQL是一个开源数据库,如果PostgreSQL数据库没有被正确配置,并且攻击者已经事先获取了凭证信息,那么他们就可以实施各类攻击行为,比如读写系统文件以及执行任意代码等。本篇文章的主要目的在于为渗透测试人员提供测试PostgreSQL数据库的具体方法。

    发布时间: 2017-07-21 14:19:10 点赞(0) 收藏

  • 【技术分享】Splash SSRF到获取内网服务器ROOT权限
    【技术分享】Splash SSRF到获取内网服务器ROOT权限

    最近自己写的小工具在扫描的过程,发现了某公司在公网开放了一个使用开源系统的站点,该系统为 Splash,Splash 可以根据用户提供的url来渲染页面,并且url没有验证,因此可导致SSRF (带回显)。这次漏洞利用支持 POST 请求,结合内网 Docker Remote API,获取到了宿主机的root权限,最终导致内网漫游。文章整理了一下利用过程,如果有哪里写的不对或者不准确的地方,欢迎大家指出~

    发布时间: 2017-07-17 15:50:43 点赞(0) 收藏

  • 【系列分享】ARM 汇编基础速成7:栈与函数
    【系列分享】ARM 汇编基础速成7:栈与函数

    这是ARM汇编速成系列的第七部分。该部分将介绍ARM汇编的栈与函数。

    发布时间: 2017-07-15 10:44:50 点赞(0) 收藏