2024-09-23 微信公众号精选安全技术文章总览
洞见网安 2024-09-23
网络研究观 2024-09-23 23:56:40
文章讨论了信息窃取者与Chrome之间的对抗。信息窃取程序的开发人员已经学会绕过Chrome的加密功能,收集先前加密的身份验证cookie。Chrome 127于7月添加了新的安全功能,旨在加密与浏览器进程相关的数据,但恶意软件开发人员一直在寻找绕过的方法。一些人直接将恶意代码注入Chrome进程或利用权限提升漏洞来获取管理员权限。谷歌知道攻击者最终会找到绕过加密的方法,但实施该功能是为了使信息窃贼的行为更容易被防病毒软件发现。信息窃取者越来越多地被用来破解和分发勒索软件,迫使谷歌的安全团队更加关注浏览器中的数据保护。该公司计划将加密功能扩展到Chrome中存储的密码、支付信息和其他身份验证令牌。新的安全功能预计将在大约一半的桌面Chrome设备上得到支持,并与Chrome中逐步淘汰第三方cookie一致。
浏览器安全
加密技术
恶意软件
权限提升
数据保护
勒索软件
晓说森林 2024-09-23 19:19:28
本章主要介绍了管理身份和认证的关键概念和实践。内容涵盖了物理访问控制和逻辑访问控制的区别及其在保护资产中的作用,主体与客体的定义,以及AAA模型(认证、授权、记账)的组件。文章详细解释了身份识别与身份验证的区别,以及身份的建立、注册和验证过程。此外,还讨论了授权和记账的区别,以及多因素身份验证的重要性。文章还介绍了密码、智能卡、生物识别等身份验证方法,并解释了单点登录和联合身份系统的实施。最后,探讨了凭证管理、会话管理、身份和访问配置生命周期的重要性,以及组和角色定义、转换的重要性,以及帐户访问审查的目的和作用。
物理访问控制
逻辑访问控制
身份验证
身份管理
授权
审计与记账
多因素身份验证
密码策略
单点登录
联合身份管理
即时配置
凭证管理
会话管理
身份和访问配置生命周期
组和角色定义
帐户访问审查
魔方安全 2024-09-23 18:30:38
成事在微,筑防于先。魔方安全提醒您:注意企业网络空间资产安全!
红队蓝军 2024-09-23 18:02:00
本文是一篇关于ATT&CK红队评估的靶场实战文章,详细介绍了从环境搭建到持久控制的全过程。其中包括信息收集、漏洞利用、内网攻击、横向移动、构建通道、持久控制等多个环节。在信息收集阶段,文章介绍了使用nmap进行端口扫描和目录扫描的方法。在漏洞利用阶段,文章分享了通过phpMyAdmin漏洞和yxcms后台功能获取shell的技巧。在内网攻击和横向移动阶段,文章讨论了利用SMB、Oracle数据库、RPCDCOM服务等漏洞进行攻击的方法,以及通过hash传递等技巧进行横向移动。在持久控制阶段,文章介绍了利用DomainFronting实现对beacon的深度隐藏以及在域控上进行利用的方法。
渗透测试
漏洞利用
内网渗透
横向移动
痕迹清理
社会工程学
后渗透技术
雷神众测 2024-09-23 17:17:51
雷神众测漏洞周报2024.09.18-2024.09.22汇总了近期发现的多个关键安全漏洞。首先是Google Chrome浏览器的代码执行漏洞(CVE-2024-8194),影响版本为128.0.6613.113之前的版本,攻击者可利用此漏洞执行任意代码。其次是IBM webMethods Integration的文件上传漏洞(CVE-2024-45076),版本10.15受影响,攻击者可上传并执行任意文件。接着是Apache Seata的Hessian反序列化漏洞(CVE-2024-22399),在2.1.0及1.8.1之前的版本中,攻击者可通过发送恶意RPC数据执行任意代码。最后是Spring Framework的路径遍历漏洞(CVE-2024-38816),影响多个版本,攻击者可利用此漏洞获取文件系统中的任意文件。所有漏洞的修复方案均为升级到最新版本。
浏览器安全
身份验证绕过
文件上传漏洞
反序列化漏洞
路径遍历
Web应用安全
企业级应用安全
分布式事务安全
篝火信安 2024-09-23 17:00:42
本文介绍了网络端口的基础知识及其安全风险。端口是计算机通信的数字标识,分为知名端口(0-1023)、注册端口(1024-49151)和私有端口(49152-65535)。开放端口意味着端口主动接收数据包,而关闭端口则拒绝所有数据包。开放端口的风险取决于服务、管理及配置。例如,SMB协议的漏洞导致了WannaCry勒索病毒的爆发。攻击者常通过端口扫描寻找漏洞,如SSH和RDP服务的暴力破解。文章还列举了远程管理服务、局域网服务、互联网服务和数据库等高危端口,并建议仅开放必要的端口,通过防火墙控制访问权限,以减少攻击面和提高安全性。
端口扫描
高危端口
服务漏洞
远程管理安全
局域网服务安全
互联网服务安全
数据库安全
木马后门
安全防护措施
HW专项行动小组 2024-09-23 14:45:16
掌控安全EDU 2024-09-23 12:01:27
本文记录了一次学校小程序的漏洞挖掘过程。作者首先发现小程序前端登录口只做了简单校验,后端无校验,通过尝试弱口令成功登录。随后,作者发现多个越权漏洞,泄露了包括身份证信息、家庭地址、学历等敏感信息。通过爆破用户账号密码,发现默认密码为123456,可轻易接管用户账号。此外,还发现了学生敏感信息泄露和签到信息泄露的接口。文章强调了在遇到前端校验时,应尝试绕过后端检验,以及多尝试不同弱口令的重要性。最后,作者提醒读者,所有渗透测试都需获取授权,遵守法律法规。
漏洞挖掘
信息泄露
越权访问
弱口令
前端校验绕过
安全意识教育
凝聚力安全团队 2024-09-23 12:00:49
本文介绍了泛微OA E-Cology系统中存在的ofsLogin接口任意用户登录漏洞。该漏洞允许未经授权的用户绕过身份验证,以任意用户身份登录系统,从而访问和操作敏感数据,可能导致数据泄露或篡改等安全问题。文章通过Fofa网络空间测绘工具发现漏洞,并提供了漏洞复现的详细步骤。为了修复这一漏洞,建议禁止公网访问系统、设置防火墙规则仅允许白名单设备访问,并及时升级至最新版本。文章最后推荐了其他相关漏洞复现文章,以供网络安全学习者参考和学习。
漏洞复现
任意用户登录
身份验证绕过
敏感数据访问
权限提升
网络安全意识
法律风险提示
修复建议
白帽子左一 2024-09-23 12:00:18
文章讨论了如何利用易受攻击的AWS Lambda函数来泄露账户信息。Lambda函数是AWS提供的一种无服务器计算服务,允许用户按需执行代码。尽管云托管服务在基础设施层面可能比传统服务更安全,但它们仍可能因用户控制元素而存在漏洞。文章通过一个具体的示例展示了命令注入攻击如何在Lambda函数中实施,并最终导致敏感信息如AWS会话令牌、访问ID和密钥等被泄露。整个过程包括了应用程序的手动检查、使用Burp Suite拦截请求以及对API端点进行模糊测试等步骤。作者强调了进行此类渗透测试时必须获取授权的重要性,并且技术仅应用于学习交流目的。
云安全
无服务器安全
命令注入攻击
渗透测试
AWS安全
安全漏洞利用
信息泄露
Relay学安全 2024-09-23 11:50:45
文章介绍了一种将shellcode存储在PE文件证书表中的隐蔽方法。传统上,shellcode可以通过白加黑的方式隐藏在合法程序中,但这种方法通常需要额外的文件。而将shellcode嵌入PE文件的证书表中,可以减少文件数量,同时通过特定工具SigFlip,可以在不破坏Authenticode签名的情况下修改PE文件。SigFlip利用签名验证过程中忽略的PE数据部分,如证书表,插入shellcode。文章还提供了SigFlip的使用示例,包括如何修改PE文件而不破坏签名,以及如何将shellcode注入到PE文件中。最后,文章提到了将这种方法与白加黑技术结合的可能性,使得合法程序成为shellcode的载体,从而在用户执行时加载并执行shellcode。
代码注入
签名绕过
PE文件结构
恶意软件分析
加密技术
工具使用
代码审计Study 2024-09-23 11:38:55
文章主要讨论了xstream组件在实际应用中的广泛使用及其潜在的安全风险。xstream组件由于其在数据处理和序列化方面的功能,被广泛应用于各种系统中。然而,文章指出,xstream组件存在反序列化漏洞,这可能被攻击者利用来执行远程代码执行(RCE)攻击。作者通过实战案例展示了攻击者如何通过xstream的反序列化漏洞,结合xslt链技术,成功植入内存马(一种恶意代码),从而对系统进行控制。文章强调了对此类漏洞的防范和修复的重要性,提醒网络安全从业者和系统管理员需要对xstream组件的使用保持警惕,并采取相应的安全措施来防止潜在的安全威胁。
安全分析与研究 2024-09-23 10:59:13
美国总统拜登签署了加强海事网络安全的行政命令,以应对海上网络安全威胁。与此同时,朝鲜Lazarus APT组织被曝光通过供应链攻击其他国家的国防部门,特别是潜艇开发计划。攻击活动涉及渗透海事研究组织的供应商,利用补丁管理系统PMS下发NukeSped恶意软件,进行商业机密窃取。攻击流程包括:窃取SSH密钥访问Web服务器,下载Ngrok工具和Python下载器脚本,横向移动收集数据,通过PMS部署恶意软件。NukeSped样本分析显示其使用异或算法解密字符串,加载DLL模块,初始化网络请求,与C2服务器通信。关联分析表明,攻击使用的C2域名与Lazarus APT组织以往的攻击活动相似。APT组织不断更新攻击武器和手法,对全球企业构成持续威胁,安全研究人员需不断提升分析能力以应对挑战。
APT攻击
供应链攻击
恶意软件分析
海事网络安全
网络防御
白帽攻防 2024-09-23 10:14:15
浅谈挖掘UAC白名单以及利用
网络个人修炼 2024-09-23 10:02:25
在Linux系统中,默认的history命令虽然能查看当前用户的历史操作记录,但缺乏详细的信息分类,如用户身份、命令执行的具体时间、以及执行命令的登录IP等。为了解决这个问题,可以通过修改系统配置来增强历史命令记录的功能。具体方法是在/etc/profile.d目录下创建一个名为userip.sh的脚本,该脚本在用户登录时自动执行,配置历史命令记录功能,并将每条命令的执行详情(包括时间戳、执行用户、登录IP)保存到指定目录下的文件中。这样,系统管理员和用户都能方便地回溯和审查命令执行情况。脚本内容涉及设置环境变量HISTTIMEFORMAT以记录时间戳和用户信息,提取登录IP,并创建历史记录文件夹。注意事项包括处理多个网络接口或IP地址的情况,脚本的执行顺序,以及登录量大时考虑设置自动定时删除旧文件。通过测试不同用户登录并执行命令,可以验证脚本的有效性,确保每个用户的历史命令及其详细信息被正确记录。
系统安全
日志管理
脚本编程
云计算和网络安全技术实践 2024-09-23 09:02:00
文章详细描述了在vulnhub平台上对hackme镜像的实践过程。首先,作者下载了hackme镜像并成功导入到workstation中。然后,通过地址扫描和端口扫描,获取到靶机的IP地址和开放的服务端口。接着,作者在浏览器中访问靶机的HTTP服务,并注册了一个新账户。通过猜测和使用Burp Suite抓取请求,作者发现存在SQL注入漏洞,并使用sqlmap工具暴破了数据库和数据表,获取到了superadmin账户和密码。最后,作者通过文件上传接口上传了web shell脚本,并成功获取到反弹shell。在查找root权限程序后,作者执行了相应程序并获得了root权限。
渗透测试
网络扫描
服务枚举
Web应用安全
SQL注入
密码破解
反弹shell
权限提升
权说安全 2024-09-23 08:20:35
本文介绍了如何利用Sysmon(系统监视器)来识别和分析Windows系统上的恶意活动,特别是针对Microsoft Office宏病毒的钓鱼攻击。Sysmon是Windows系统服务,能够监视29种系统活动类型,并将信息记录到事件日志中。通过安装Sysmon并使用特定的配置文件,可以过滤掉大量无用事件,专注于关键的日志信息。文章通过一个宏病毒钓鱼测试案例,展示了Sysmon如何记录宏触发的进程创建和网络连接事件,从而揭示了攻击者的恶意行为。尽管Sysmon提供了详尽的日志记录,但同时也存在日志量大和需要额外分析工具的问题。文章最后建议,为了有效利用Sysmon,需要根据具体环境进行配置,并与SIEM平台结合使用。
