2015年 第31周 微信公众号精选安全技术文章总览

洞见网安 2015-8-3

0x1 格式化字符串的漏洞利用

天创培训 2015-08-07T16:00:07

格式化字符串漏洞是一种允许攻击者在程序中任意内存地址执行读或写操作的软件缺陷，尤其在C编程中使用格式化字符串函数时容易受到攻击。本文深入讲解了格式化字符串的概念，以及C程序中常见的格式化字符串说明符，如%d、%s、%x等。文章通过实际示例代码，说明了由于程序员未对用户输入进行过滤而导致格式化字符串漏洞的情况。文章还讨论了如何利用该漏洞读取堆栈中的信息，甚至执行代码，从而揭示了格式化字符串漏洞的潜在危险性。此外，还简要介绍了如何利用%n和$等printf规范特性来进一步利用漏洞。

格式化字符串漏洞 C语言安全 缓冲区溢出 栈溢出 软件漏洞利用 编程安全 内存安全

0x2 （转）戏耍XSS的一些技巧

天创培训 2015-08-07T16:00:07

本文深入探讨了XSS（跨站脚本攻击）的一些高级技巧。文章首先回顾了08年与2015年网络安全环境的变化，强调了尽管系统不断升级，但攻击者仍然可以通过一些巧妙的思路来利用XSS漏洞。文章详细介绍了如何利用XSS漏洞进行深入攻击，包括使用WebRTC检测内网端口、盗取cookies以及通过浏览器漏洞入侵。重点讨论了在注册/登录页面和修改密码页面存在XSS时，如何通过JavaScript代码获取用户信息并发送到服务器。此外，文章还介绍了伪造页面的技巧，如使用iframe和ajax技术，以及JavaScript键盘记录技巧。最后，文章提供了一些事例，并讨论了不同方法的优缺点。

XSS攻击 Web安全 JavaScript漏洞 钓鱼攻击 内网渗透 跨域资源共享 代码审计 安全意识

0x3 没有外部工具，如何快速发现Windows中毒了

江南信安 2015-08-05T17:48:39

从事应急响应工作几年之后，我认为总结一份快速确定计算机是否被感染木马和病毒的“方法论”是十分有用的。这显然不

0x4 防范智能家居设备安全风险 专家建议从路由器入手

江南信安 2015-08-04T18:04:31

为了让生活更加轻松，现在很多家庭都安装了智能家居设备。但无论是智能摄像头、智能灯泡，还是其它智能家居设备都存

0x5 三种新的针对IOS假面攻击方法（Masque Attacks）

安全张之家 2015-08-03T09:15:18 转自红黑联盟

在最近的IOS8.4版本里，苹果修复了几个漏洞包括允许攻击者部署两种新型的假面攻击(CVE-2015-372

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。