热点概要:在路径补充功能处GNU Bash代码执行漏洞分析(影响4.4+,2017-1-20修复)、通过JMX访问破坏Apache Tomcat、使用加密的宏绕过沙箱、Android逆向基础之Dalvik指令集、mysql注入小本本、滥用type Juggling和PHP对象注入导致在表达式引擎中执行sql注入
国内热词(以下内容部分摘自http://www.solidot.org/):
英特尔Atom C2000芯片缺陷会让设备变砖
76款流行iOS应用被发现易被中间人攻击
黑客让全世界16万台打印机打印ASCII 艺术图
资讯类:
超过67,000网站受wordpress内容注入漏洞影响
智能电视制造商VIZIO未经用户授权收集用户信息被罚款220w美元
http://thehackernews.com/2017/02/smart-tv-vizio-spying.html
美国法官下令Google将外国服务器上存储的电子邮件交给FBI
http://thehackernews.com/2017/02/surveillance-google-fbi.html
技术类:
Google Hangouts ActiveX中的释放重引用漏洞
http://bobao.360.cn/learning/detail/3461.html
在路径补充功能处GNU Bash代码执行漏洞分析(影响4.4+,2017-1-20修复)
我是如何劫持名人的推文,包括Katy Perry, Shakira…
通过JMX访问破坏Apache Tomcat
滥用type Juggling和PHP对象注入导致在表达式引擎中执行sql注入
https://foxglovesecurity.com/2017/02/07/type-juggling-and-php-object-injection-and-sqli-oh-my/
HTTPS拦截的安全影响
https://zakird.com/papers/https_interception.pdf
使用加密的宏绕过沙箱
https://warroom.securestate.com/encrypt-macros-bypass-sandboxes/
WordPress REST API 内容注入漏洞分析
Pony木马通过.pub文件进行感染的分析
http://blog.talosintel.com/2017/02/pony-pub-files.html
IE11 上的SOP bypass/UXSS
http://bobao.360.cn/learning/detail/3464.html
攻击JavaScript引擎:一个JavaScriptCore的学习案例(CVE-2016-4622)
http://www.mottoin.com/95838.html
安全客2016年刊-彩蛋降临-谜底大揭秘
http://bobao.360.cn/news/detail/3970.html
逆向修改手机内核,绕过反调试
http://mp.weixin.qq.com/s/c6maBlFu0DLK9qDooMm8fA
Android逆向基础之Dalvik指令集
mysql注入小本本
https://www.exploit-db.com/docs/41275.pdf