官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 资讯

各位读者周末好，以下是本周「FreeBuf知识大陆一周优质资源推荐」，我们精选了本周知识大陆公开发布的10条优质资源，让我们一起看看吧。

笔记一

这一节主要给大家简单介绍一下二战时期发明的一种破解难度感觉比现代密码都大的机械密码 - 英格玛加密，必须得佩服人家的智慧!

笔记二

本文档总结了2023攻防演练期间需关注的高危漏洞清单，包括远程代码执行、命令注入、SQL注入、身份验证绕过等类型。这些漏洞对网络攻防演练的安全性具有重要影响，因此需要引起广泛关注和及时修复。

笔记三

Iolokia是一个开源的Java远程管理和监控平台，用于对Java应用程序进行管理和监控。JNDI（Java Naming and Directory Interface）是一种Java API，用于在分布式计算环境中查找和访问命名服务。RCE（Remote Code Execution）是一种安全漏洞，允许攻击者远程执行恶意代码或命令。

笔记四

本次报告整合了近两年在攻防演练被红队利用最频繁且对企业危害较高的漏洞，包含了详细的漏洞基础信息、检测规则和修复方案，企业可根据自身资产信息进行针对性的排查、配置封堵策略和漏洞修复相关工作。

笔记五

海康威视iSecureCenter_Fastison命令执行 海康威视综合安防管理平台存在Fastjson远程命令执行漏洞，该漏洞可执行系统命令，可获取到目标服务器系统权限以及敏感数据信息。

笔记六

这是一款依赖于BurpSuite中HTTP history的API测试辅助工具

笔记七

本文档介绍了汽车网络安全问题，包括个人隐私泄露、位置信息泄露、通话记录泄露和汽车被黑客攻击等。文章提到了如何挖掘汽车网络安全漏洞和提高员工安全意识等防范措施。

笔记八

本文档主要介绍了安全所测评中心的内容，包括多个漏洞预警这些漏洞涵盖了不同的软件和系统，如某远OA、华某OA、36x终端安全管理审计系统等。建议广大用户做好资产自查以及预防工作，以免遭受黑客攻击。

笔记九

本文档详细阐述了Java反序列化漏洞的原理及其危害。首先阐述了Java序列化的基本概念，接着分析了Java反序列化的漏洞成因，并给出了实例分析。最后，总结了常用的反序列化工具及查找反序列化漏洞的方法。

笔记十

本文档介绍了如何使用AFL++的 fuzzing 技术进行有效且规整的测试。首先介绍了适用于白盒 fuzzing 的输入 corpus 的收集方法，并强调了主动性选择的重要性。接着介绍了如何控制语料库的规模以提高 fuzzing 的效率，并提到了唯一化语料库的重要性。此外，还介绍了如何使用字典和 Sanitizer 进行模糊测试，并给出了相应的使用方法和注意事项。