2021年第36周微信公众号精选安全技术文章总览

洞见网安 2021-9-6

0x1 VRRP虚拟路由冗余协议原理解析，附实验配置！

网络技术联盟站 2021-09-12T21:38:39 点击关注👉

公众号：网络技术联盟站

本文探讨了Android系统中的移动安全，特别是APP如何检测设备是否已经被Root。文章首先介绍了Android系统的沙箱机制，即通过UID对应用进行隔离，以保证不同应用之间的安全性。随后，文章指出root用户能够绕过沙箱机制，对设备进行未授权访问，因此在敏感场景中检测Root变得至关重要。文章详细解释了APP检测Root的原理，包括检测su命令的存在、执行which命令查看su的存在、以及检查环境变量PATH上是否存在su。最后，文章强调了即使这些检测方法能够有效，恶意用户仍然可能通过技术手段绕过检测，因此移动安全是一个复杂且不断发展的领域，需要持续的关注和研究。

移动安全 Android安全 Root检测安全机制应用安全 Linux内核安全安全检测

0x3 SSH 连接异常分析

墨守安全 2021-09-10T09:00:00 © Jing

本文针对SSH连接过程中遇到的异常情况进行了详细分析。首先介绍了SSH协议的基本概念和用法，包括如何使用SSH命令登录远程主机以及如何修改SSH配置文件。接着，文章列举了常见的SSH连接报错情况，如配置文件未更改、虚拟机网卡无IP、防火墙设置不当等，并针对每种情况提供了相应的解决方法。此外，文章还提到了在进行本地连接测试时，发现Kali Linux最小安装方式可能需要安装某些系统工具或命令，并提供了相应的安装步骤。最后，文章通过图片展示了网络配置和系统信息的截图，以帮助读者更好地理解和解决问题。

SSH协议安全远程登录安全网络安全配置防火墙配置网络故障排查操作系统安全

0x4 HAProxy高危漏洞风险提示

安恒信息CERT 2021-09-10T08:30:00

近日，安恒信息应急响应中心发现HAProxy存在一个编号为CVE-2021-40346的高危漏洞，该漏洞可能导致攻击者绕过ACL限制，实现对限制URL的未授权访问。该漏洞影响多个版本的HAProxy及其企业版产品，包括HAProxy Kubernetes Ingress Controller。攻击者可以通过构造包含超长Content-Length字段的HTTP请求来触发此漏洞。为了缓解风险，建议用户升级到安全版本，或者在无法立即更新时，通过添加特定的HTTP请求和响应规则来限制Content-Length头部的大小。安恒信息提供了详细的漏洞描述和缓解措施，并建议用户及时采取行动。

漏洞公告安全漏洞 HAProxy 整数溢出漏洞负载均衡安全应急响应软件安全网络安全防护

0x5 介绍几个常用的御剑系列的信息收集扫描工具

天策安全技术联盟 2021-09-09T20:00:00 © Team Partner

本文介绍了御剑系列的几个常用信息收集扫描工具。首先，作者建立了一个网络安全学习交流群，群内分享资源并提供帮助。接着，文章详细介绍了御剑WEB指纹识别工具、御剑后台扫描工具、御剑无字节大小限制版（包含端口扫描和目录扫描功能）以及御剑高速端口扫描工具的使用方法。御剑WEB指纹识别工具通过输入域名进行识别；御剑后台扫描工具则输入网站并选择字典进行扫描；御剑无字节大小限制版支持端口扫描和目录扫描，能够进行单一IP或IP段的扫描，并获取端口指纹信息；御剑高速端口扫描工具则更为专业，需要.NET Framework 4.0支持，能够识别WEB中间件信息。文章最后鼓励关注公众号获取更多技术文章和资源。

信息收集渗透测试开源工具教育与培训

0x6 微软MSHTML远程代码执行0day风险提示

安恒信息CERT 2021-09-08T17:38:27

微软于2021年9月7日发布安全公告，指出其MSHTML引擎存在远程代码执行漏洞（CVE-2021-40444）。此漏洞主要影响使用ActiveX控件的用户，攻击者可以通过构造恶意ActiveX的Office文档并诱导用户打开，来实现远程代码执行，从而控制用户机器。该漏洞影响包括Windows 7至Windows Server 2022在内的多个Windows版本。由于微软尚未提供补丁，建议用户通过禁用ActiveX控件来缓解风险。具体操作包括创建并运行一个.reg文件，以修改系统策略设置。

漏洞分析安全漏洞 Microsoft安全公告 ActiveX控件安全代码执行漏洞安全响应与缓解 Windows操作系统安全

0x7 使用机器学习检测PHP Webshell的研究实践

安博通 2021-09-08T16:51:56 © 安博通

以原创安全可视化技术创造网络安全业务新体验

0x8 php反序列化到简单的pop链构造(详解)

黑客街安全团队 2021-09-08T16:26:01 © zhang

本文详细介绍了PHP反序列化漏洞中的一种利用方法——面向属性编程（POP链）。文章首先概述了POP链的构造方法，并解释了在反序列化过程中，攻击者如何通过控制对象的属性值来实现攻击。接着，文章深入讲解了PHP的序列化与反序列化过程，以及魔术方法的概念和它们在反序列化漏洞利用中的作用。通过具体的例子，文章展示了如何利用__destruct()等魔术方法以及eval等危险函数来构造POP链，实现攻击目标。最后，文章提供了一个实际的反序列化漏洞实例，并详细说明了如何通过构造payload来利用这个漏洞。

PHP安全反序列化漏洞魔术方法 POP链漏洞利用安全编码安全漏洞

0x9 防火墙的几种常见部署模式

河南信安世纪 2021-09-07T18:16:04

防火墙通常部署在不同信任级别的网络区域之间，比如互联网和内网之间、办公网和生产网之间、对内业务区和对外业务区

0xa BrakTooth蓝牙漏洞风险提示

安恒信息CERT 2021-09-07T17:32:36

近日，安恒信息应急响应中心发现影响商业蓝牙经典协议栈的16个新漏洞家族，共涉及20个CVE编号，其中4个尚未分配CVE编号。这些漏洞存在于11家供应商的13款蓝牙设备中，可能影响数百万设备，包括智能手机、笔记本电脑、车辆和物联网设备。漏洞名称为BrakTooth，包括多种类型的漏洞，如代码执行、拒绝服务、死锁等。受影响的设备数量可能因BT协议栈在多个产品间共享而增加。目前，漏洞细节和利用代码已公开，建议用户及时关注厂商安全公告并升级固件以缓解风险。

蓝牙安全漏洞物联网安全固件安全供应链安全设备拒绝服务代码执行内存破坏

0xb ARP协议

河南信安世纪 2021-09-06T18:15:00

1、ARP的位置OSI模型有七层，TCP在第4层传输层，IP在第3层网络层，而ARP在第2层数据链路层。高层

0xc 防火墙中的DMZ区，Trust区，Untrust区