2024-09-23 微信公众号精选安全技术文章总览
洞见网安 2024-09-23
0x1 信息窃取者对抗 Chrome:谁会赢得这场战斗?
网络研究观 2024-09-23 23:56:40
文章讨论了信息窃取者与Chrome之间的对抗。信息窃取程序的开发人员已经学会绕过Chrome的加密功能,收集先前加密的身份验证cookie。Chrome 127于7月添加了新的安全功能,旨在加密与浏览器进程相关的数据,但恶意软件开发人员一直在寻找绕过的方法。一些人直接将恶意代码注入Chrome进程或利用权限提升漏洞来获取管理员权限。谷歌知道攻击者最终会找到绕过加密的方法,但实施该功能是为了使信息窃贼的行为更容易被防病毒软件发现。信息窃取者越来越多地被用来破解和分发勒索软件,迫使谷歌的安全团队更加关注浏览器中的数据保护。该公司计划将加密功能扩展到Chrome中存储的密码、支付信息和其他身份验证令牌。新的安全功能预计将在大约一半的桌面Chrome设备上得到支持,并与Chrome中逐步淘汰第三方cookie一致。
浏览器安全 加密技术 恶意软件 权限提升 数据保护 勒索软件
0x2 第13章 管理身份和认证
晓说森林 2024-09-23 19:19:28
本章主要介绍了管理身份和认证的关键概念和实践。内容涵盖了物理访问控制和逻辑访问控制的区别及其在保护资产中的作用,主体与客体的定义,以及AAA模型(认证、授权、记账)的组件。文章详细解释了身份识别与身份验证的区别,以及身份的建立、注册和验证过程。此外,还讨论了授权和记账的区别,以及多因素身份验证的重要性。文章还介绍了密码、智能卡、生物识别等身份验证方法,并解释了单点登录和联合身份系统的实施。最后,探讨了凭证管理、会话管理、身份和访问配置生命周期的重要性,以及组和角色定义、转换的重要性,以及帐户访问审查的目的和作用。
物理访问控制 逻辑访问控制 身份验证 身份管理 授权 审计与记账 多因素身份验证 密码策略 单点登录 联合身份管理 即时配置 凭证管理 会话管理 身份和访问配置生命周期 组和角色定义 帐户访问审查
0x3 安全卫士 | 魔方安全漏洞周报
魔方安全 2024-09-23 18:30:38
成事在微,筑防于先。魔方安全提醒您:注意企业网络空间资产安全!
0x4 ATT&CK红队评估1靶场实战(超详细)
红队蓝军 2024-09-23 18:02:00
本文是一篇关于ATT&CK红队评估的靶场实战文章,详细介绍了从环境搭建到持久控制的全过程。其中包括信息收集、漏洞利用、内网攻击、横向移动、构建通道、持久控制等多个环节。在信息收集阶段,文章介绍了使用nmap进行端口扫描和目录扫描的方法。在漏洞利用阶段,文章分享了通过phpMyAdmin漏洞和yxcms后台功能获取shell的技巧。在内网攻击和横向移动阶段,文章讨论了利用SMB、Oracle数据库、RPCDCOM服务等漏洞进行攻击的方法,以及通过hash传递等技巧进行横向移动。在持久控制阶段,文章介绍了利用DomainFronting实现对beacon的深度隐藏以及在域控上进行利用的方法。
渗透测试 漏洞利用 内网渗透 横向移动 痕迹清理 社会工程学 后渗透技术
0x5 雷神众测漏洞周报2024.09.18-2024.09.22
雷神众测 2024-09-23 17:17:51
雷神众测漏洞周报2024.09.18-2024.09.22汇总了近期发现的多个关键安全漏洞。首先是Google Chrome浏览器的代码执行漏洞(CVE-2024-8194),影响版本为128.0.6613.113之前的版本,攻击者可利用此漏洞执行任意代码。其次是IBM webMethods Integration的文件上传漏洞(CVE-2024-45076),版本10.15受影响,攻击者可上传并执行任意文件。接着是Apache Seata的Hessian反序列化漏洞(CVE-2024-22399),在2.1.0及1.8.1之前的版本中,攻击者可通过发送恶意RPC数据执行任意代码。最后是Spring Framework的路径遍历漏洞(CVE-2024-38816),影响多个版本,攻击者可利用此漏洞获取文件系统中的任意文件。所有漏洞的修复方案均为升级到最新版本。
浏览器安全 身份验证绕过 文件上传漏洞 反序列化漏洞 路径遍历 Web应用安全 企业级应用安全 分布式事务安全
0x6 科普时间 | 高危端口的暴露与风险(附常见高危端口列表)
篝火信安 2024-09-23 17:00:42
本文介绍了网络端口的基础知识及其安全风险。端口是计算机通信的数字标识,分为知名端口(0-1023)、注册端口(1024-49151)和私有端口(49152-65535)。开放端口意味着端口主动接收数据包,而关闭端口则拒绝所有数据包。开放端口的风险取决于服务、管理及配置。例如,SMB协议的漏洞导致了WannaCry勒索病毒的爆发。攻击者常通过端口扫描寻找漏洞,如SSH和RDP服务的暴力破解。文章还列举了远程管理服务、局域网服务、互联网服务和数据库等高危端口,并建议仅开放必要的端口,通过防火墙控制访问权限,以减少攻击面和提高安全性。
端口扫描 高危端口 服务漏洞 远程管理安全 局域网服务安全 互联网服务安全 数据库安全 木马后门 安全防护措施
0x7 一些提高密码喷洒与爆破出货率的小技巧
HW专项行动小组 2024-09-23 14:45:16
0x8 记某学校小程序漏洞挖掘
掌控安全EDU 2024-09-23 12:01:27
本文记录了一次学校小程序的漏洞挖掘过程。作者首先发现小程序前端登录口只做了简单校验,后端无校验,通过尝试弱口令成功登录。随后,作者发现多个越权漏洞,泄露了包括身份证信息、家庭地址、学历等敏感信息。通过爆破用户账号密码,发现默认密码为123456,可轻易接管用户账号。此外,还发现了学生敏感信息泄露和签到信息泄露的接口。文章强调了在遇到前端校验时,应尝试绕过后端检验,以及多尝试不同弱口令的重要性。最后,作者提醒读者,所有渗透测试都需获取授权,遵守法律法规。
漏洞挖掘 信息泄露 越权访问 弱口令 前端校验绕过 安全意识教育
0x9 【漏洞复现】泛微OA E-Cology ofsLogin 任意用户登录漏洞
凝聚力安全团队 2024-09-23 12:00:49
本文介绍了泛微OA E-Cology系统中存在的ofsLogin接口任意用户登录漏洞。该漏洞允许未经授权的用户绕过身份验证,以任意用户身份登录系统,从而访问和操作敏感数据,可能导致数据泄露或篡改等安全问题。文章通过Fofa网络空间测绘工具发现漏洞,并提供了漏洞复现的详细步骤。为了修复这一漏洞,建议禁止公网访问系统、设置防火墙规则仅允许白名单设备访问,并及时升级至最新版本。文章最后推荐了其他相关漏洞复现文章,以供网络安全学习者参考和学习。
漏洞复现 任意用户登录 身份验证绕过 敏感数据访问 权限提升 网络安全意识 法律风险提示 修复建议
0xa 云安全 | 利用易受攻击的 Lambda 函数泄露 AWS 账户信息
白帽子左一 2024-09-23 12:00:18
文章讨论了如何利用易受攻击的AWS Lambda函数来泄露账户信息。Lambda函数是AWS提供的一种无服务器计算服务,允许用户按需执行代码。尽管云托管服务在基础设施层面可能比传统服务更安全,但它们仍可能因用户控制元素而存在漏洞。文章通过一个具体的示例展示了命令注入攻击如何在Lambda函数中实施,并最终导致敏感信息如AWS会话令牌、访问ID和密钥等被泄露。整个过程包括了应用程序的手动检查、使用Burp Suite拦截请求以及对API端点进行模糊测试等步骤。作者强调了进行此类渗透测试时必须获取授权的重要性,并且技术仅应用于学习交流目的。
云安全 无服务器安全 命令注入攻击 渗透测试 AWS安全 安全漏洞利用 信息泄露
0xb Shellcode存储的一种方式
Relay学安全 2024-09-23 11:50:45
文章介绍了一种将shellcode存储在PE文件证书表中的隐蔽方法。传统上,shellcode可以通过白加黑的方式隐藏在合法程序中,但这种方法通常需要额外的文件。而将shellcode嵌入PE文件的证书表中,可以减少文件数量,同时通过特定工具SigFlip,可以在不破坏Authenticode签名的情况下修改PE文件。SigFlip利用签名验证过程中忽略的PE数据部分,如证书表,插入shellcode。文章还提供了SigFlip的使用示例,包括如何修改PE文件而不破坏签名,以及如何将shellcode注入到PE文件中。最后,文章提到了将这种方法与白加黑技术结合的可能性,使得合法程序成为shellcode的载体,从而在用户执行时加载并执行shellcode。
代码注入 签名绕过 PE文件结构 恶意软件分析 加密技术 工具使用
0xc xstream反序列化漏洞打内存马
代码审计Study 2024-09-23 11:38:55
文章主要讨论了xstream组件在实际应用中的广泛使用及其潜在的安全风险。xstream组件由于其在数据处理和序列化方面的功能,被广泛应用于各种系统中。然而,文章指出,xstream组件存在反序列化漏洞,这可能被攻击者利用来执行远程代码执行(RCE)攻击。作者通过实战案例展示了攻击者如何通过xstream的反序列化漏洞,结合xslt链技术,成功植入内存马(一种恶意代码),从而对系统进行控制。文章强调了对此类漏洞的防范和修复的重要性,提醒网络安全从业者和系统管理员需要对xstream组件的使用保持警惕,并采取相应的安全措施来防止潜在的安全威胁。
0xd Lazarus APT组织针对海事研究组织进行网络攻击活动
安全分析与研究 2024-09-23 10:59:13
美国总统拜登签署了加强海事网络安全的行政命令,以应对海上网络安全威胁。与此同时,朝鲜Lazarus APT组织被曝光通过供应链攻击其他国家的国防部门,特别是潜艇开发计划。攻击活动涉及渗透海事研究组织的供应商,利用补丁管理系统PMS下发NukeSped恶意软件,进行商业机密窃取。攻击流程包括:窃取SSH密钥访问Web服务器,下载Ngrok工具和Python下载器脚本,横向移动收集数据,通过PMS部署恶意软件。NukeSped样本分析显示其使用异或算法解密字符串,加载DLL模块,初始化网络请求,与C2服务器通信。关联分析表明,攻击使用的C2域名与Lazarus APT组织以往的攻击活动相似。APT组织不断更新攻击武器和手法,对全球企业构成持续威胁,安全研究人员需不断提升分析能力以应对挑战。
APT攻击 供应链攻击 恶意软件分析 海事网络安全 网络防御
0xe 浅谈挖掘UAC白名单以及利用
白帽攻防 2024-09-23 10:14:15
浅谈挖掘UAC白名单以及利用
0xf linux历史命令升级:自动记录时间和登录IP
网络个人修炼 2024-09-23 10:02:25
在Linux系统中,默认的history命令虽然能查看当前用户的历史操作记录,但缺乏详细的信息分类,如用户身份、命令执行的具体时间、以及执行命令的登录IP等。为了解决这个问题,可以通过修改系统配置来增强历史命令记录的功能。具体方法是在/etc/profile.d目录下创建一个名为userip.sh的脚本,该脚本在用户登录时自动执行,配置历史命令记录功能,并将每条命令的执行详情(包括时间戳、执行用户、登录IP)保存到指定目录下的文件中。这样,系统管理员和用户都能方便地回溯和审查命令执行情况。脚本内容涉及设置环境变量HISTTIMEFORMAT以记录时间戳和用户信息,提取登录IP,并创建历史记录文件夹。注意事项包括处理多个网络接口或IP地址的情况,脚本的执行顺序,以及登录量大时考虑设置自动定时删除旧文件。通过测试不同用户登录并执行命令,可以验证脚本的有效性,确保每个用户的历史命令及其详细信息被正确记录。
系统安全 日志管理 脚本编程
0x10 vulnhub之hackme的实践
云计算和网络安全技术实践 2024-09-23 09:02:00
文章详细描述了在vulnhub平台上对hackme镜像的实践过程。首先,作者下载了hackme镜像并成功导入到workstation中。然后,通过地址扫描和端口扫描,获取到靶机的IP地址和开放的服务端口。接着,作者在浏览器中访问靶机的HTTP服务,并注册了一个新账户。通过猜测和使用Burp Suite抓取请求,作者发现存在SQL注入漏洞,并使用sqlmap工具暴破了数据库和数据表,获取到了superadmin账户和密码。最后,作者通过文件上传接口上传了web shell脚本,并成功获取到反弹shell。在查找root权限程序后,作者执行了相应程序并获得了root权限。
渗透测试 网络扫描 服务枚举 Web应用安全 SQL注入 密码破解 反弹shell 权限提升
0x11 蓝队技术——Sysmon识别检测宏病毒
权说安全 2024-09-23 08:20:35
本文介绍了如何利用Sysmon(系统监视器)来识别和分析Windows系统上的恶意活动,特别是针对Microsoft Office宏病毒的钓鱼攻击。Sysmon是Windows系统服务,能够监视29种系统活动类型,并将信息记录到事件日志中。通过安装Sysmon并使用特定的配置文件,可以过滤掉大量无用事件,专注于关键的日志信息。文章通过一个宏病毒钓鱼测试案例,展示了Sysmon如何记录宏触发的进程创建和网络连接事件,从而揭示了攻击者的恶意行为。尽管Sysmon提供了详尽的日志记录,但同时也存在日志量大和需要额外分析工具的问题。文章最后建议,为了有效利用Sysmon,需要根据具体环境进行配置,并与SIEM平台结合使用。
恶意软件检测 日志分析 入侵检测 钓鱼攻击 安全信息与事件管理(SIEM)
0x12 Cookie vs Session:Web开发中的状态管理双雄
技术修道场 2024-09-23 08:04:31
本文深入探讨了Web开发中的两种状态管理技术:Cookie和Session。Cookie是存储在客户端的小型文本文件,用于在多次请求间保持会话状态,具有可设置的生命周期和作用域,但安全性较低。Session则是存储在服务器端的数据结构,通过唯一的Session ID跟踪用户状态,支持存储任意类型的数据,生命周期由服务器控制,安全性较高。文章对比了两者的存储位置、数据类型、生命周期、作用域和安全性,指出Cookie适用于存储少量不敏感数据,而Session适合存储敏感数据。最后,提出了最佳实践,包括敏感数据存储在Session中,合理设置Cookie过期时间,以及采取安全措施保护两者安全性,以构建更安全、高效的Web应用。
Web 安全 状态管理 数据保护 身份验证 性能优化
0x13 三条命令查杀冰蝎、哥斯拉内存马
lufeisec 2024-09-23 08:00:26
内存马姿势多种多样,内存马的检测方法同样百花齐放。从上面的分析来说可以总结为“80万对60万,优势在我”是攻方,比如通过三条命令发现内存马,发现的只是已有的特征,攻方也可以修改这些特征,所以还需要另辟蹊径。
0x14 密码学中的常用加密方式?
泷羽Sec 2024-09-23 07:45:16
密码,无处不在
0x15 在非越狱 iOS 上实现全流量抓包
有价值炮灰 2024-09-23 07:30:22
手机抓包小技巧分享。
0x16 追踪来自Github安全团队钓鱼邮件
二进制空间安全 2024-09-23 07:01:01
摘要是论文中不可缺少的一部分,具有独立性,是对全文内容的高度浓缩和提炼。它通常包括研究背景、目的、方法、结果和结论等要素。撰写摘要时,需要明确指出研究的目的、范围、任务和重要性,并用简单、明确、易懂的语言对全文内容加以概括。摘要的写作时间通常在论文完成之后,但也可以提前撰写。摘要的作用在于为读者提供文献内容的梗概,帮助他们快速了解文章的主要信息和贡献。撰写高质量的摘要需要经过精心打磨,突出最想让审稿人和读者阅读的闪光点,以增加论文被录用和被引用的概率。
钓鱼攻击 恶意软件分析 信息窃取 安全漏洞 网络钓鱼 社会工程学 代码执行 数字签名伪造 Windows安全特性绕过 内存执行
0x17 本地git托管到github发布
天幕安全团队 2024-09-23 00:58:59
0x18 【疑难杂症】Office提示:“无法安装 64 位版本的 Office 365,因为你安装了 32 位 Office 产品”
利刃信安 2024-09-23 00:12:49
【疑难杂症】Office提示:“无法安装 64 位版本的 Office 365,因为你安装了 32 位 Office 产品”
0x19 【版本更新】导出 Lsass.exe 内存工具 过360 火绒 微软 xlrls v1.1发布!
星落安全团队 2024-09-23 00:00:07
过360、火绒 、微软win10 微步云沙箱为安全
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
原文始发于微信公众号(洞见网安):网安原创文章推荐【2024/9/23】
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论