2015年 第38周 微信公众号精选安全技术文章总览

洞见网安 2015-9-21

0x1 WordPress漏洞分析

天创培训 2015-09-22T16:15:55

本文分析了WordPress 4.3.1版本中修复的两个严重安全问题：跨站脚本漏洞（CVE-2015-5714）和权限提升漏洞（CVE-2015-5715）。文章详细解释了由Check Point提交的跨站脚本漏洞，该漏洞利用了WordPress中简码和HTML标签过滤的差异。此外，文章还讨论了另一个越权漏洞，它允许用户通过XMLRPC操作将自己的文章状态修改为“private”，并可将其置顶。文章通过具体示例说明了如何利用这些漏洞进行攻击，并介绍了WordPress版本更新后如何修复这些漏洞。最后，文章回顾了Check Point发布的《WordPress漏洞三部曲》，强调了即使在非最新版本中，这些漏洞也可能会被利用，并提出了对WordPress安全性的关注。

Web安全 漏洞分析 WordPress安全 XSS攻击 权限提升 XMLRPC 漏洞修复 漏洞利用

0x2 启明星辰ADLab：XcodeGhost恶意代码分析及检测工具

ADLab 2015-09-20T14:22:05 启明星辰

2015年9月，启明星辰ADLab发现第三方Xcode编译器存在恶意代码注入，该代码影响使用被修改Xcode编译的苹果应用开发者。恶意代码收集应用信息，包括安装时间、应用名、版本号等，并通过POST方式上传至已关闭的域名init.icloud-analysis.com。该恶意代码具备执行网页打开、打电话、发短信等操作的能力，并可通过远程控制服务器获取用户敏感信息。启明星辰ADLab开发了检测工具，用于批量检测受感染的应用，并通过提供的ipa文件和检测程序进行操作。检测工具已在看雪ios安全板块发布，使用时需将ipa文件放入unpack目录，并使用clickMeToCheck.exe进行检测。

恶意软件分析 Xcode漏洞 iOS安全 移动安全 安全检测工具 信息收集 反调试技术 安全事件分析

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。