1.Windows组策略DACL覆盖权限升级漏洞详情(CVE-2020-16939)
https://www.zerodayinitiative.com/blog/2020/10/27/cve-2020-16939-windows-group-policy-dacl-overwrite-privilege-escalation
2.Ubuntu桌面版中三个CVE的故事
https://www.eyecontrol.nl/blog/the-story-of-3-cves-in-ubuntu-desktop.html
3.知名的聊天应用程序,包括LINE、Slack、Twitter DM等,可能泄漏位置数据并与第三方服务器共享私人信息
https://www.mysk.blog/2020/10/25/link-previews/
4.偶然观察到的严重IDOR漏洞
https://medium.com/bugbountywriteup/accidental-observation-to-critical-idor-d4d910a855bf
1.taser:Python资源库,用于简化创建攻击性安全工具的过程,尤其是那些与Web或外部评估有关的工具
https://github.com/m8r0wn/taser
2.invoke-antivm:用于虚拟机检测和逃逸的PowerShell脚本
https://github.com/robomotic/invoke-antivm
3.jsmon:JavaScript修改监控工具,可用于漏洞赏金
https://github.com/robre/jsmon
4.decoder-plus-plus:将数据解码/编码为各种格式
https://github.com/bytebutcher/decoder-plus-plus
5.jwt-hack:对JWT进行安全测试,支持对JWT进行编码/解码,为JWT攻击和非常快速的破解生成有效载荷(dict / brutefoce)
https://github.com/hahwul/jwt-hack
6.py3webfuzz:用于辅助Web应用程序Fuzzing的Python3库
https://github.com/jangelesg/py3webfuzz
1.Writeup: FlareOn 2020: 003 - wednesday
https://whitehatlab.eu/en/blog/writeup/flareon/2020/003-wednesday/
2.使用Python从头开始设计符号测试生成器的原型
https://www.fuzzingbook.org/beta/html/PrototypingWithPython.html
3.失落但未被遗忘的故事,未记录的NetSync,Part1
https://www.trustedsec.com/blog/the-tale-of-the-lost-but-not-forgotten-undocumented-netsync-part-1/
4.Chrome中一个textbook UAF漏洞的利用
https://securitylab.github.com/research/CVE-2020-6449-exploit-chrome-uaf
5.滥用Teams客户端协议绕过Teams安全策略
https://o365blog.com/post/teams-policies/
6.有关如何修改或提取Python源代码的几种方法
https://rushter.com/blog/python-code-isolation/
7.绕过WAF以执行Error-Based SQL注入
https://medium.com/bugbountywriteup/bypassing-waf-to-do-error-based-sql-injection-dd52773a66d3
8.事件响应详解
https://searchsecurity.techtarget.com/definition/incident-response
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。
天融信
阿尔法实验室
长按二维码关注我们
本文始发于微信公众号(天融信阿尔法实验室):每日攻防资讯简报[Oct.28th]
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论