每日攻防资讯简报[Oct.28th]

  • A+
所属分类:安全新闻

每日攻防资讯简报[Oct.28th]

0x00漏洞

1.Windows组策略DACL覆盖权限升级漏洞详情(CVE-2020-16939)

https://www.zerodayinitiative.com/blog/2020/10/27/cve-2020-16939-windows-group-policy-dacl-overwrite-privilege-escalation

 

2.Ubuntu桌面版中三个CVE的故事

https://www.eyecontrol.nl/blog/the-story-of-3-cves-in-ubuntu-desktop.html

 

3.知名的聊天应用程序,包括LINE、Slack、Twitter DM等,可能泄漏位置数据并与第三方服务器共享私人信息

https://www.mysk.blog/2020/10/25/link-previews/

 

4.偶然观察到的严重IDOR漏洞

https://medium.com/bugbountywriteup/accidental-observation-to-critical-idor-d4d910a855bf

0x01工具

1.taser:Python资源库,用于简化创建攻击性安全工具的过程,尤其是那些与Web或外部评估有关的工具

https://github.com/m8r0wn/taser

 

2.invoke-antivm:用于虚拟机检测和逃逸的PowerShell脚本

https://github.com/robomotic/invoke-antivm

 

3.jsmon:JavaScript修改监控工具,可用于漏洞赏金

https://github.com/robre/jsmon

 

4.decoder-plus-plus:将数据解码/编码为各种格式

https://github.com/bytebutcher/decoder-plus-plus

 

5.jwt-hack:对JWT进行安全测试,支持对JWT进行编码/解码,为JWT攻击和非常快速的破解生成有效载荷(dict / brutefoce)

https://github.com/hahwul/jwt-hack

 

6.py3webfuzz:用于辅助Web应用程序Fuzzing的Python3库

https://github.com/jangelesg/py3webfuzz

0x02技术

1.Writeup: FlareOn 2020: 003 - wednesday

https://whitehatlab.eu/en/blog/writeup/flareon/2020/003-wednesday/

 

2.使用Python从头开始设计符号测试生成器的原型

https://www.fuzzingbook.org/beta/html/PrototypingWithPython.html

 

3.失落但未被遗忘的故事,未记录的NetSync,Part1

https://www.trustedsec.com/blog/the-tale-of-the-lost-but-not-forgotten-undocumented-netsync-part-1/

 

4.Chrome中一个textbook UAF漏洞的利用

https://securitylab.github.com/research/CVE-2020-6449-exploit-chrome-uaf

 

5.滥用Teams客户端协议绕过Teams安全策略

https://o365blog.com/post/teams-policies/

 

6.有关如何修改或提取Python源代码的几种方法

https://rushter.com/blog/python-code-isolation/

 

7.绕过WAF以执行Error-Based SQL注入

https://medium.com/bugbountywriteup/bypassing-waf-to-do-error-based-sql-injection-dd52773a66d3

 

8.事件响应详解

https://searchsecurity.techtarget.com/definition/incident-response

天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。




每日攻防资讯简报[Oct.28th]

每日攻防资讯简报[Oct.28th]

天融信

阿尔法实验室

长按二维码关注我们



本文始发于微信公众号(天融信阿尔法实验室):每日攻防资讯简报[Oct.28th]

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: