burpa：burp 自动化扫描工具；Firefox中通用CSP bypass详细信息

姿势

1.通过在 iOS 11 上Hook Sec Trust Evaluat(...) 来禁用SSL pinning

SSL校验证书绑定（ssl pinning）措施会导致我们在渗透测试移动app时无法抓到当前app的https数据包，必须先绕过ssl pingning措施。

参考链接：

https://kov4l3nko.github.io/blog/2018-05-27-sll-pinning-hook-sectrustevaluate/

2.USB 逆向工程方向资料整合

USB逆向工程，通过协议分析、硬件攻击实现任意硬件定制驱动程序的过程。

参考链接：

http://devalias.net/devalias/2018/05/13/usb-reverse-engineering-down-the-rabbit-hole/

3.Firefox中通用CSP bypass详细信息（CVE-2018-5175）

参考链接：

https://mksben.l0.cm/2018/05/cve-2018-5175-firefox-csp-strict-dynamic-bypass.html

4. 反序列化漏洞原理分析与案例

文章内容包括java、python、php、ruby语言反序列化漏洞原理分析及漏洞案例。

参考链接：

https://www.exploit-db.com/docs/english/44756-deserialization-vulnerability.pdf

工具

1.Archery：开源漏洞评估和管理工具

Archery是一款开源的漏洞评估和管理工具，帮助开发和渗透测试人员执行漏洞扫描及管理漏洞。Archery使用开源工具执行Web和网络漏洞扫描来执行对Web应用及网络漏洞扫描，并支持使用selenium执行Web应用程序扫描，最终将原始扫描报告合并输出。

参考链接：

https://www.kitploit.com/2018/05/archerysec-open-source-vulnerability.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+PentestTools+%28PenTest+Tools%29

2.burpa: burp 自动化扫描工具

burpa使用burpsuite 自动化扫描网站，并将扫描结果输出成报告。

参考链接：

https://www.kitploit.com/2018/05/burpa-burp-suite-automation-tool.html?utm_source=dlvr.it&utm_medium=twitter&m=1

3.mimikatz新版本：避免服务器RDP在线用户数量限制

mimikatz工具新版本2.1.0 20180527支持多用户同时通过RDP登录服务器。

参考链接：

https://twitter.com/gentilkiwi/status/1000540218406133761

4.MULTITOR：创建多个TOR实例

MULTITOR 工具可通过 HAProxy 创建多个TOR实例并实现负载平衡通信。TOR可用于隐私保护。

参考链接：

https://github.com/trimstray/multitor

资讯

1.Z-Shave攻击可能会影响超过1亿个物联网设备

用于物联网/智能设备的Z-Wave无线通信协议容易受到降级攻击，允许恶意方拦截并篡改智能设备之间的流量。

参考链接：

https://www.bleepingcomputer.com/news/security/z-shave-attack-could-impact-over-100-million-iot-devices/

2.Windscribe 1.81代码执行漏洞利用代码

WindScribe是一套用于匿名连接互联网的VPN软件。WindScribe 1.81版本中存在安全漏洞。攻击者可借助\\.\pipe\Windscribe Service URL利用该漏洞获取权限或造成拒绝服务。

参考链接：

https://cxsecurity.com/issue/WLB-2018050243

3.可口可乐的数据泄露已经影响了约8000名员工

可口可乐在9月份发现了安全漏洞，一名前雇员在个人硬盘上拥有员工数据，可口可乐公司宣布员工数据被泄露。

参考链接：

https://securityaffairs.co/wordpress/72941/data-breach/coca-cola-data-breach.html

欢迎酷爱技术的你来破壳交流。