点击阅读原文可点击链接,求波关注
夜深,试一下效果
当你在看盗版影片的时候,很多时候一些播放器会自带搜索字幕的功能
这个攻击方式就是上传带有木马的字幕
然后,
就中了。
相关链接
http://blog.checkpoint.com/2017/05/23/hacked-in-translation/
攻击演示视频:
https://twitter.com/360CoreSec
该情报来源:qz安全情报分析
CVE-2017-7494 :linux Samba漏洞,可远程代码执行
Samba 4.6.4, 4.5.10 and 4.4.14 Available for Download
要在共享可以写入的状态下可利用成功
https://lists.samba.org/archive/samba-announce/2017/000406.html
Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源,还能与全世界的电脑分享资源。
资源技术:
XSSI 攻击技术白皮书
Cross Site Script Inclusion (XSSI) 跨站脚本包含是一种允许攻击者通过恶意JS绕过边界窃取信息的攻击技术。
http://www.mbsd.jp/Whitepaper/xssi.pdf
相关中文学习链接:
http://www.freebuf.com/articles/web/87374.html
分析静态编译加剥离的ELF文件的一些方法
这个我是觉得真的牛,解决了很多问题,根据这篇文章将来能研究的东西更多了,谢谢兰云
http://www.freebuf.com/articles/terminal/134980.html
PinDemonium通用动态脱壳工具
这个也是真厉害,这个概念老,但是很值得关注,很有用,想脱哪脱哪
http://www.freebuf.com/sectool/135217.html
github移动安全方向的资料
https://github.com/secmobi/wiki.secmobi.com
ChakraCore 一起读代码 - 01 - 字节码的生成http://www.nul.pw/2017/05/14/223.html
还有这次会议结束,很多不错的ppt,后续会跟进并发出来