Sec Hotspot 首页  友情链接  收藏本站  技术博客  RSS
统计信息
已收录文章数量:13935 篇
已收录公众号数量:68 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
分享图片   2021.04.14 16:51:17  312
Chrome V8 RCE 0day之WeChatWeb   2021.04.17 16:40:17  131
攻防第四日漏洞与情报整理及解决方案   2021.04.11 19:11:17  110
面试官常考的 21 条 Linux 命令   2021.04.12 08:00:59  109
Windows手工入侵排查思路   2021.04.13 08:00:49  93
Shadow Attack:隐藏和替换签名PDF中的内容   2021.04.14 08:00:47  81
【技术分享】CVE-2021-27905 Apache Solr SSRF 复现   2021.04.15 18:00:35  71
近期CNVD重大漏洞汇总   2021.04.15 18:20:29  69
【原创】2021腾讯游戏安全技术复赛pc客户端安全wp   2021.04.12 15:46:09  68
CVE-2021-26295:Apache OFBiz反序列化漏洞复现   2021.04.14 10:09:46  64
已收录微信公众号
无量安全 三六零CERT 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 安在 i春秋 嘶吼专业版 E安全 网信防务 网安杂谈 数说安全 互联网安全内参 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 奇安信集团 奇安信 CERT 国舜股份 雷神众测 字节跳动安全中心 Bypass CNNVD安全动态 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技
每日攻防资讯简报[Apr.7th]
本文来自公众号:天融信阿尔法实验室   2021.04.07 20:00:38

0x00漏洞

1.Github私有页面的XSS漏洞

https://robertchen.cc/blog/2021/04/03/github-pages-xss

2.知名CMS Umbraco的提权漏洞(CVE-2020-29454)

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/elevate-yourself-to-admin-in-umb-cms-890-cve-2020-29454/

0x01工具

1.EXIF-GPS-Steganography:使用EXIF GPS数据在图像中隐藏短信

https://github.com/LucasN-dev/EXIF-GPS-Steganography

https://lucasn-dev.github.io/EXIF-GPS-Steganography/

2.wappalyzergo:Wappalyzer的GoLang版本,高性能,用于大规模自动化扫描

https://github.com/projectdiscovery/wappalyzergo

3.Scylla:极简的信息收集引擎,查找有关用户名、网站、电话号码等的高级信息

https://github.com/DoubleThreatSecurity/Scylla

4.CANalyse:车辆网络分析和攻击工具

https://github.com/KartheekLade/CANalyse

https://kartheeklade.medium.com/what-is-canalyse-and-how-do-i-control-hack-cars-through-telegram-part-1-de358640becf

5.uac:对事件响应的实时响应收集工具,使用内置工具来自动收集类Unix系统工件

https://github.com/tclahr/uac

0x02恶意代码

1.攻击者在LinkedIn上伪造职业招聘,对专业人士进行鱼叉式钓鱼攻击

https://www.esentire.com/security-advisories/hackers-spearphish-professionals-on-linkedin-with-fake-job-offers-infecting-them-with-malware-warns-esentire

2.APT组织Cycldek在针对越南政府和军事实体的高级网络间谍活动使用的FoundCore远控

https://securelist.com/the-leap-of-a-cycldek-related-threat-actor/101243/

0x03技术

1.使用Kaitai Struct为Ghidra添加XCOFF结构体支持

https://blog.silentsignal.eu/2021/04/06/adding-xcoff-support-to-ghidra-with-kaitai-struct/

2.使用jsfuzz对JavaScript npm/nodejs/code (omggif)进行Fuzzing

https://www.youtube.com/watch?v=1U_jIeHesZg

3.使用Shodan和SQL对AWS IP进行威胁狩猎

https://steampipe.io/blog/use-shodan-to-test-aws-public-ip

4.Time for an upgrade

https://blog.grimm-co.com/2021/04/time-for-upgrade.html

5.演示通过Windows PowerShell(内置的Mimikatz模块作为域控制器的一部分)在受感染的Windows计算机上执行的各种攻击和任务

https://www.hackingarticles.in/powershell-empire-for-pentester-mimikatz-module/

6.深入了解React Native生物识别库的安全性

https://blog.nviso.eu/2021/04/06/a-closer-look-at-the-security-of-react-native-biometric-libraries/

7.漏洞利用工具包介绍

https://exploitpack.gitbook.io/exploit-pack-manual-pages/

天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。




天融信

阿尔法实验室

长按二维码关注我们