資安新聞及事件週報 2018/7/16 ~ 2018/7/20

1.重大弱點漏洞

開源軟件漏洞頻出,所謂的Linus's Law 是否已過時
https://www.oschina.net/news/97959/does-linus-law-out-time

ISC Kea 阻斷服務漏洞
https://kb.isc.org/article/AA-01626

【威脅通告】Weblogic遠端程式碼執行漏洞CVE-2018-2893
https://itw01.com/2XN4WEG.html

Oracle WebLogic反序列化遠程代碼執行漏洞
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

關於安全漏洞CVE-2017-9805的Weblogic Server防護建議
https://bit.ly/2uBBhIr

甲骨文7月破紀錄修補334個安全漏洞
https://www.ithome.com.tw/news/124659

Cisco FXOS和NX-OS漏洞
http://t.cn/RgziN1z

Cisco 多個產品存在安全性弱點
https://www.us-cert.gov/ncas/current-activity/2018/07/11/Cisco-Releases-Security-Updates
https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir#~Vulnerabilities

思科改善Policy Suite存取權控制失誤與預設帳密缺失
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=4989

CVE-2018-0710 QNAP Q'center產品存在SSH命令注入漏洞
http://t.cn/RgaIyuP

CVE-2018-0706 QNAP Q'center漏洞,允許用戶訪問敏感信息
http://t.cn/RgaIy1N

WordPress <= 4.9.6 任意文件刪除漏洞
https://cloud.tencent.com/developer/article/1158606

注意LFI破綻,撈取VelotiSmart WiFi攝影機密碼檔
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=4988

Microsoft Windows NTFS權限提升漏洞
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-1036

IBM DB2 多個漏洞
https://www.auscert.org.au/bulletins/65154

IBM Planning Analytics跨站腳本漏洞
https://www-01.ibm.com/support/docview.wss?uid=swg24044955

IBM WebSphere Application Server信息洩露漏洞
https://www-01.ibm.com/support/docview.wss?uid=swg22016821

小米路由器HD(R3D)爆出遠程代碼執行漏洞CVE-2018-14060
http://toutiao.secjia.com/article/page?topid=104498

更新VMware Tools,抑制out-of-bounds read缺陷
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=4987

libwav 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14052

ADB Broadband Gateways/Routers授權繞過漏洞 CVE-2018-13109
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13109

IBM iNotes 安全漏洞  CVE-2013-0594
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0594

多款IBM產品漏洞
http://www-01.ibm.com/support/docview.wss?uid=ssg1S1012263
http://www-01.ibm.com/support/docview.wss?uid=ssg1S1012282
http://www-01.ibm.com/support/docview.wss?uid=ssg1S1012283

Apache Spark CVE-2018-8024 導致腳本執行以及信息洩漏
http://t.cn/RdFVTTU

Apache HTTPD 阻斷服務漏洞
https://www.auscert.org.au/bulletins/65526

Apache Spark 跨站脚本漏洞 CVE-2018-8024
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8024

Adobe Connect 安全漏洞  CVE-2018-12804
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12804

Adobe 多個產品存在安全性弱點
https://www.us-cert.gov/ncas/current-activity/2018/07/10/Adobe-Releases-Security-Updates

Adobe Acrobat和Reader越界讀取漏洞
https://helpx.adobe.com/security/products/acrobat/apsb18-21.html

華碩WRT-AC66U 路由器存在XSS漏洞
http://t.cn/RdDsZh1

IBM QRadar SIEM 未認證任意代碼執行
http://t.cn/Rdut7n8

聯想SU v5.07 – 緩存區溢出& 任意代碼執行
http://t.cn/RdDsZPo

威聯通修補Q'center中控管理台5項弱點
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=4986

libgit2 git_delta_apply 函數整型溢出造成拒絕服務攻擊
http://t.cn/RdDszKi

無線網絡工具Aircrack更新至1.3
http://t.cn/RdDsZqj

ReadHat gnupg2 迎來重大安全更新
http://t.cn/RdDszxc

媒體播放器VLC測出Use-After-Free漏洞
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=4985

英特爾為Spectre變種漏洞支付10萬美元的獎勵
http://t.cn/RdDszet

【重賞 $10 萬美金】研究人員發現 Spectre 新漏洞
https://bit.ly/2uOX2nE

【威脅通告】Modx Revolution遠程代碼執行漏洞CVE-2018-1000207
https://hk.saowen.com/a/aeed19594a677cd9b6cd3679976d38e44ce53e963d720540c3a7bb8916a1ba46

Open-Xchange App Suite跨站腳本漏洞
http://oxpedia.org/wiki/index.php?title=AppSuite:Versioning_and_Numbering


2.銀行/金融/保險/證券/電子支付/行動支付/虛擬貨幣/區塊鍊 新聞及資安

防制洗錢拚過評鑑 金管會盯違規開罰16銀行
https://bit.ly/2zXKJLB

駭客搶銀行! 俄羅斯銀行因老舊路由器被盜走92萬美元
https://www.ithome.com.tw/news/124691

財金公司成立F-ISAC 助金融業防駭
http://www.chinatimes.com/newspapers/20180717000241-260202

南科攜手中正挑戰金融服務業
https://money.udn.com/money/story/5635/3251357

愛妻癌逝老公欲關閉帳戶 PayPal卻說「死亡算違約」
https://fnc.ebc.net.tw/FncNews/Content/44672

本土研發TaiPay代碼化技術 保護個資及支付安全
http://www.epochtimes.com/b5/18/7/17/n10568797.htm

全國首例暗網比特幣賭球案件破獲
http://t.cn/RdgR8k5

黑客從以色列Bancor交易所盜取1350萬美元
http://t.cn/RddKevd

十分鐘教你EOS智能合約如何開發的詳細步驟
http://www.lianmenhu.com/blockchain-4663-2

Coinbase 預計加5種加密貨幣 價格均漲
https://news.cnyes.com/news/id/4166514

淺談區塊鏈資訊安全防護
https://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=8649

本徵資本亮相“駭客馬拉松” 全球區塊鏈盛會紐約站開啟
http://big5.china.com.cn/gate/big5/kc.china.com.cn/2018-07/16/content_40422004.htm

加密貨幣竊案頻傳 遭駭損失高達16.3億美元
https://bit.ly/2JtF6E8

黑客盜虛擬幣 今年破紀錄62億
https://news.mingpao.com/pns/dailynews/web_tc/article/20180717/s00014/1531765845795

【支援15 種語言】LINE旗下加密貨幣交易所BITBOX今起營運
https://news.mingpao.com/ins/instantnews/web_tc/article/20180716/s00002/1531734245083

LINE 旗下加密貨幣交易所 BITBOX 上線,首月交易免手續費
https://technews.tw/2018/07/18/line-cryptocurrency-exchange-bitbox/

悠遊支付樂 杜絕虛擬幣駭客
https://money.udn.com/money/story/5636/3258025

【香港金管局】與21家銀行合作,將於8月推出區塊鏈貿易融資平台
https://www.blocktempo.com/hong-kong-monetary-authority-to-launch-multi-bank-blockchain-trade-finance-platform/

大陸P2P平台吹倒閉風 那台灣勒
http://www.chinatimes.com/realtimenews/20180719000006-260410

Coinbase大烏龍 比特幣白漲了
https://news.cnyes.com/news/id/4168197

Mastercard取得新專利 將加速加密貨幣付款流程
https://news.cnyes.com/news/id/4168152

商業銀行App加減法 暗藏業務重心轉移
http://money.people.com.cn/BIG5/n1/2018/0719/c42877-30156444.html

銀行業開放第三方軟件接入 明年初首階段試行 分析:銀行自行審批或阻普及
https://www.mpfinance.com/fin/daily2.php?node=1531938473286&issue=20180719

網路霸主跨向金融 日韓傳統銀行面臨大挑戰
https://bit.ly/2Lk7ptO

悠遊卡漏洞免費停車半年遭法辦 檢方:騙機器也是詐欺
https://www.ettoday.net/news/20180719/1216186.htm

手機存摺2.0 最快9月登場
http://www.chinatimes.com/newspapers/20180719000608-260210

虛擬貨幣交易所 Bitrue 在台上線,打造高資安規格交易平台
http://technews.tw/2018/07/20/cryptocurrency-exchange-bitrue/

本局舉辦「金融科技專利暨其相關核心技術說明會」圓滿成功!相關簡報請各界參考
https://www.tipo.gov.tw/sys.content.asp?mp=1&CuItem=674393&ctNode=7127

BTC-e Operator, Accused of Laundering $4 Billion, to be Extradited to France
https://bit.ly/2uzS5j3

RockItCoin celebrates milestone in bitcoin ATM installations
https://www.atmmarketplace.com/news/rockitcoin-celebrates-milestone-in-bitcoin-atm-installations/

PayPal's Venmo App Exposes Most Transactions via Its API
https://www.bleepingcomputer.com/news/security/paypals-venmo-app-exposes-most-transactions-via-its-api/


3.資安事件新聞

A.病毒木馬 / 殭屍網路 / 勒索軟體

駭客利用改版Magniber勒索軟體再度發動攻擊,目標鎖定臺灣等多個亞洲國家
https://www.ithome.com.tw/news/124669

Magniber ransomware improves, expands within Asia
https://blog.malwarebytes.com/threat-analysis/2018/07/magniber-ransomware-improves-expands-within-asia/

【 虛體貨幣 】 挖礦殭屍透過詐騙網站,攻擊執行SSH服務的裝置
https://blog.trendmicro.com.tw/?p=56089

數位貨幣挖礦惡意軟體迅速崛起;駭客趨於雲端計算環境
http://www.eweek.com/security/crypto-mining-malware-rising-fast-hackers-increasingly-targeting-cloud

黑客推出“凱蒂貓”惡意軟件利用漏洞開採門羅幣
http://news.fx168.com/blockchain/1807/2587697_wap.shtml

印度惡意軟件使用MDM
http://t.cn/RdFQYgt

印度黑客濫用蘋果MDM:發布惡意軟件竊取iPhone用戶信息
http://t.cn/Rgc0hlZ

IBM:10款惡意程式暗藏木馬,成功潛入Google Play
https://www.ithome.com.tw/news/124559

更新CSE惡意軟體ZLab - Roman Holiday行動 - 狩獵俄羅斯APT28
https://securityaffairs.co/wordpress/74460/apt/operation-roman-holiday-apt28.html

Fortinet:勒索病毒GandCrab 4.0才推出兩天就釋出4.1,小心盜版網站的假破解工具
https://www.ithome.com.tw/news/124627

GandCrab v4.1勒索軟件及SMB漏洞利用傳播猜測分析
http://www.4hou.com/vulnerable/12576.html

Aurora 電網漏洞與 BlackEnergy 木馬程式
https://blog.trendmicro.com.tw/?p=56114

The Week in Ransomware - July 13th 2018 - CoinVault Court Case & More
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-july-13th-2018-coinvault-court-case-and-more/

Hackers Used Malicious MDM Solution to Spy On 'Highly Targeted' iPhone Users
https://bit.ly/2uAA0AI




B.行動安全 / iPhone / Android / App

即便關閉定位功能 手機也可跟蹤你的行蹤
http://www.epochtimes.com/b5/18/7/16/n10564894.htm

伯朗LINE活動出現漏洞 送千杯咖啡提前喊卡
https://tw.appledaily.com/new/realtime/20180715/1392126/

都是更新惹的禍——微信出現「遠程彈窗漏洞」
https://bit.ly/2KZFhN3

iPhone再現爆炸門 輝煌過後Apple已遭遇“中年危機”
https://bit.ly/2Lo9VMk

Android用戶:請注意Google Play是行銷還是詐騙的伎倆
https://www.eset.tw/html/182/20180706/?&utm_source=esettw&utm_medium=edm_zh&utm_campaign=20180717

手機前鏡頭沒事盡量關!駭客寄信敲詐表示自己掌握了色情片內容並同時偷錄製
https://www.inside.com.tw/2018/07/18/hacker-porn

Instagram正在開發非SMS的雙因素認證服務
https://www.ithome.com.tw/news/124641

遊戲app成為駭客盜刷信用卡洗錢新管道
https://www.ithome.com.tw/news/124642

鼎源必安全:移動APP安全漏洞多如何防護是關鍵
http://t.cj.sina.com.cn/articles/view/6440029505/17fdb0d4100100aenl

EU Fines Google Record $5 Billion in Android Antitrust Case
https://bit.ly/2A0JbR1

Apple Transfers Chinese Users' iCloud Data to State-Controlled Data Centers
https://bit.ly/2uPw135


C.事件 / 駭客 / DDOS / APT / 徵才 / 國際資安事件

發現國際機場安全系統在暗網銷售
http://t.cn/RdDsZto

物聯網搜尋引擎意外暴露大華舊型視訊監控系統密碼
https://www.ithome.com.tw/news/124630

七月起Chrome將會對未加密的HTTP網站標記“不安全連線”
https://blog.trendmicro.com.tw/?p=56047

駭客入侵JavaScript套件ESLint Scope以竊取npm存取令牌
https://www.ithome.com.tw/news/124565

家用路由器遭駭客攻擊台灣高居全球首位!資安專家教你 6 招自保
http://3c.ltn.com.tw/news/34098

路由器拉警報!駭客利用「永恆之藍」入侵家用網路
https://bit.ly/2LkVr30

看完色情網站卻收到駭客勒索:我入侵攝影鏡頭拍下來了,要臉還是要錢
https://buzzorange.com/techorange/2018/07/19/hacker-fake-ransom-for-sex-camera-shot/

中勒索病毒近3千客戶資料沒了!老闆拒給錢寧賠數十萬
http://news.ltn.com.tw/news/life/breakingnews/2493227

初中畢業無師自通 駭客導師率大學生攻擊網站被捕入獄
https://bit.ly/2mtO2QI

開班教駭客技術! 導師與學生分判刑
http://m.ltn.com.tw/news/world/breakingnews/2492840

暗網販售RDP非法存取IT系統名單,只要10美元就能駭入國際機場
https://www.ithome.com.tw/news/124558

有了網軍就可以打網絡戰?沒那麼簡單
http://t.cn/Rga5jui

整合網路科技 德打造自家DARPA
https://bit.ly/2msaKce

Github提供自動掃描Python項目已有漏洞的服務
http://t.cn/Rga5j1U

輕鬆就能當駭客:只要花台幣 300 元,國際機場任你駭
https://buzzorange.com/techorange/2018/07/16/macfee-report-darknet-sales-rdp-list-for-low-price/

研究人員以樹莓派打造欺騙裝置,成功騙過GPS系統竄改導航路徑
https://www.ithome.com.tw/news/124631

暗網販售 RDP 訪問權限!McAfee 黑市調查發現 10 美元就能駭入國際機場
https://www.inside.com.tw/2018/07/16/rdp-access-dark-web

“羅馬假日”行動:APT28試圖入侵意大利軍方服務器
http://t.cn/Rga5jgr

受五年前漏洞影響,數万台大華DVR設備登錄密碼被搜索引擎收錄
http://t.cn/Rga5jld

物聯網搜尋引擎意外暴露大華舊型視訊監控系統密碼
https://www.ithome.com.tw/news/124630

售票網站Ticketmaster第三方通訊軟體遭駭,僅是大量竊取信用卡和銀行帳號的冰山一角
https://www.ithome.com.tw/news/124603

網銀莫名轉帳?家用路由器6步保安全
https://bit.ly/2uwjVfg

情資研究團隊經驗累積 自主開發分析系統進而商品化 派送程式蒐集端點行為 以駭客邏輯辨識威脅
http://www.netadmin.com.tw/article_content.aspx?sn=1807020008

任天堂修復了Switch中所謂無法修復的冷啟動漏洞
https://bit.ly/2Jq8ACX

Google Chrome 現已能防止透過網頁進行的 Spectre 式攻擊
https://chinese.engadget.com/2018/07/13/google-chrome-67-site-isolation/

廣告?假的!眼睛業障重 – CSI Cyber S01E10
https://www.isda.org.tw/index.php/2018/07/13/csi-cyber-s01e10/

紅牛3400萬被駭客轉給別家公司 2年多仍未討回鉅款
http://big5.china.com.cn/gate/big5/media.china.com.cn/yqfw/2018-07-16/1292144.html

程式設計師和黑客的區別在哪?網友:真相了
https://read01.com/ggOP4gg.html#.W0v219IzbIU

駭客入侵JavaScript套件ESLint Scope以竊取npm存取令牌
https://www.ithome.com.tw/news/124565

紅燈亮起!網路頻遭攻擊 美點名俄等4國
https://udn.com/news/story/6813/3252361

國際再保:台灣的資安系統屬於「中高危險等級」
http://www.chinatimes.com/realtimenews/20180717001411-260410

美軍過於有恃無恐?普通駭客也能偷走大量機密資料
https://technews.tw/2018/07/16/hacker-exploits-2-year-old-router-issue-to-steal-sensitive-us-military-data/

穆勒指控12名俄羅斯情報人士對2016年美國大選進行駭客攻擊
http://money-link.com.tw/RealtimeNews/NewsContent.aspx?sn=1217030002&pu=News_0001_7

駭入民主黨網路干預大選 12俄人遭美起訴
https://bit.ly/2NTS8hM

美情報總監:基建遭中俄網攻威脅加大
http://www.epochtimes.com/b5/18/7/14/n10562753.htm

中國大陸駭客組織涉攻擊柬網站
https://bit.ly/2uF67zk

“天眼”監控下無處躲藏?美媒發現它的漏洞
https://www.bannedbook.org/bnews/cbnews/20180717/973132.html

美軍軍用無人機機密文件遭竊,原因是軍營用的路由器沒有更新一年前的漏洞
https://bit.ly/2NkFM17

美國終制裁19俄駭客 俄揚言報復
http://ldijohpfh.blog.fc2.com/blog-entry-895.html

烏克蘭SUB安全局阻止了針對化工廠的VPNFilter攻擊
http://t.cn/RgziNu7

研究:俄羅斯國家漏洞資料庫所列出的漏洞數量只有已知的10%
https://www.ithome.com.tw/news/124629

黑客通過Chrome Hola擴展侵入MEW賬戶
http://t.cn/RgzMMVk

GitHub將安全通知服務擴大至Python
https://www.ithome.com.tw/news/124607

用額外記憶體換安全上網 Chrome新防護更堅強但吃更多資源
https://bit.ly/2ml9eIF

Chrome 67加入網站隔離功能,防止Spectre竊取資訊
https://bit.ly/2LlgSxO

要安全還是性能?實測i7-8700封堵幽靈漏洞後性能損失1%-3%
https://www.steamxo.com/2018/07/16/270592/

【小心中伏】智能門鎖選購貼士
https://bit.ly/2uJAyUX

中大人臉辨識檢測防攻擊 雙胞胎漏洞未解決
http://hk.on.cc/hk/bkn/cnt/news/20180719/bkn-20180719121027561-0719_00822_001.html

Hacker Puts Airport's Security System Access On Dark Web Sale For Just $10
https://bit.ly/2NPMg94

Hacker Sold Stolen U.S. Military Drone Documents On Dark Web For Just $200
https://bit.ly/2NTYXQy

Google Enables 'Site Isolation' Feature By Default For Chrome Desktop Users
https://bit.ly/2uzTC7R

12 Russian Intelligence Agents Indicted For Hacking DNC Emails
https://bit.ly/2uG8sKf

10 Takeaways: Russian Election Interference Indictment
https://www.bankinfosecurity.com/10-takeaways-russian-election-interference-indictment-a-11211

21-Year-Old Woman Charged With Hacking Selena Gomez's Email Account
https://bit.ly/2L5HnuO

21-Year-Old Creator of LuminosityLink Hacking Tool Pleads Guilty
https://bit.ly/2uDpM2g

Microsoft Offers $100,000 Bounty for Finding Bugs in Its Identity Services
https://bit.ly/2JzGZiE

Attack of the Bot Army
https://medium.com/@nrajesh/attack-of-the-bot-army-fd0f4c42c769

Cyber Security Training Courses – CISA, CISM, CISSP Certifications
https://bit.ly/2NqOjzB

徵才 - 資安監控人員
https://www.104.com.tw/job/?jobno=6acoe

徵才 - 資安維護工程師
https://www.104.com.tw/job/?jobno=5glkb&jobsource=n104bank2

徵才 - [台北] 資安產品代理商徵求業務
https://www.ptt.cc/bbs/job/M.1531885885.A.068.html

徵才 - 網路/資安工程師(大陸)
https://www.104.com.tw/job/?jobno=6aip7

徵才 - 安全工程師(滲透測試)-杭州研究院099
https://hr.163.com/position/detail.do?id=12090

【招標公告】「107年行動應用 APP基本資安檢測服務」資訊服務採購案
https://www.nmth.gov.tw/information_239_87844.html


D.資料外洩/個資法/GDPR/網路詐騙/網路釣魚/盜刷

行銷業者過去能從 Facebook 不公開社團中獲取成員個人資料
https://chinese.engadget.com/2018/07/13/facebook-closed-groups-marketers-personal-info/

LINE隱私條款只有同意能選?3步驟教你輕鬆破解
https://news.ftv.com.tw/news/detail/2018713F07M1

LINE資料存日本 台法律管不到
https://tw.news.appledaily.com/headline/daily/20180714/38069727/

醫療軟件公司MedEvolve因服務器漏洞致20多萬患者信息洩露
http://t.cn/Rga5jOp

【放下我的隱私權】手把手帶你從 Line 手上取回個資自主權,行為不再被追蹤
https://buzzorange.com/techorange/2018/07/13/how-to-switch-off-line-privacy-issue/

人大國發院專家:個人信息洩露的民法視角
http://t.cn/Rga5jRy

《個資法》拿FB、LINE沒辦法 律師:應比照歐盟
https://tw.appledaily.com/new/realtime/20180713/1391175/

小心!宅配不在府通知簡訊有詐 當心個資外洩
https://tw.appledaily.com/new/realtime/20180715/1391992/

宅配不在府簡訊有詐 亂點個資恐外洩
https://bit.ly/2uyQ2el

檔案共享服務 MEGA 爆使用者個資外洩,帳號密碼和檔案名稱全部被看光
https://buzzorange.com/techorange/2018/07/17/mega-user-id-and-password-data-leaked/?utm_source=TOLINEIMG_0717_MEGA

新西蘭網盤Mega上萬帳號密碼遭洩露,被公開在VirusTotal上
http://t.cn/RgJfiqJ

日本推「個資銀行」 用戶可決定公開內容+對象
http://ec.ltn.com.tw/article/breakingnews/2491110

西班牙電信一安全漏洞置數百萬用戶數據於洩露邊緣
https://www.easyaq.com/news/26450412.shtml

歐盟個資法上路 航運、海攬業應作好準備
https://bit.ly/2O2cy8g

Facebook Faces £500,000 Fine in U.K. Over Cambridge Analytica Leak
https://bit.ly/2zGrrtJ

Australian Airport Identity Card Issuer Breached
https://www.bankinfosecurity.com/australian-airport-identity-card-issuer-breached-a-11205

Analysis: California's Groundbreaking Privacy Law
https://www.bankinfosecurity.com/interviews/analysis-californias-groundbreaking-privacy-law-i-4045

Timehop Breach Reveals Lessons for Social Media Hacks in a GDPR-Facing World
https://bit.ly/2Lm6aae

Twitter‘s Fake Account Problem
https://medium.com/@indica/twitter-s-fake-account-problem-5ae2764e2fd2

FBI: Global Business Email Compromise Losses Hit $12.5 Billion
https://www.bankinfosecurity.com/fbi-global-business-email-compromise-losses-hit-125-billion-a-11206


E.研究報告

如何設置自己的蜜罐來收集惡意軟件樣本
http://t.cn/RdF9YZK

LightCoin合約非一致性檢查漏洞分析
https://itw01.com/2PRT7E2.html

白帽彙在第9屆中國數據庫技術大會(簡稱DTCC)發表主題演講
http://www.baimaohui.net/static_pages/109

CVE-2018-8174 “雙殺”0day漏洞復現
http://blog.51cto.com/12804405/2142667

四兩撥千斤式的攻擊!如何應對Memcache服務器漏洞所帶來的DDoS攻擊
https://blog.163yun.com/blog/article/177240373902151680

何查找網站漏洞文件任意查看漏洞詳情與利用
https://cloud.tencent.com/info/477b21b5176a675560a6c4b93cd399f8.html

如何挖掘洩漏用戶隱私的敏感jsonp接口漏洞– NULL-
https://paper.tuisec.win/detail/4d6771696669fd1

Apache Solr XXE漏洞分析 -【CVE-2018-8026 】
http://www.bigdataway.net/node/17603

Pwn2Own 2018 Safari漏洞利用開發記錄系列第4部分:JavaScriptCore漏洞的武器化
https://paper.tuisec.win/detail/1c3a9048d0d0824

VPNFilter惡意軟件未被引起重視,許多受影響設備仍存在漏洞
http://t.cn/RgcY4XS

美國情報分析師的工具箱裡都有哪些工具?
http://t.cn/Rgc0LoU

移動端跨越攻擊預警:新型APT攻擊方式解析
http://t.cn/Rga5jTh

DHCP客戶端腳本執行漏洞分析(CVE-2018-1111)
http://t.cn/RgaIyEI

容器和虛擬機誰更安全?IBM研究院給出評定方法
http://t.cn/Rga5jn6

調試CVE-2015-1641office類型混淆漏洞時遇到的樣本構造問題
https://bbs.pediy.com/thread-229994.htm

Apache爆日志文件漏洞
https://my.oschina.net/ssdlinux/blog/1859064

DHCP客戶端腳本代碼執行漏洞分析(CVE-2018-1111)
https://paper.tuisec.win/detail/d5ad126bf519da5

JSRC 漏洞評分新規則:係數全面上調、優質報告“加雞腿”價值≥1個中危
https://www.secfree.com/article-955.html

web安全-xss漏洞的原理和解決方案
https://bit.ly/2LnJ32j

DHCP客戶端腳本代碼執行漏洞分析(CVE-2018-1111)
http://www.4hou.com/vulnerable/12642.html

基於Python3的漏洞檢測工具( Python3 插件式框架 )
http://blog.51cto.com/11418753/2146691

CVE-2018-8174不同姿勢的漏洞復現
https://zhuanlan.zhihu.com/p/40080662

利用Web應用程序漏洞竊取NTLM哈希值新姿勢
http://www.4hou.com/web/12582.html

WebLogic任意文件上傳漏洞復現與分析 - 【CVE-2018-2894】
https://xz.aliyun.com/t/2458

CNCERT:CVE-2018-2894 WebLogic遠程上傳漏洞說明
https://www.secrss.com/articles/4008

CRM系統常見Web安全漏洞與防範
https://cloud.tencent.com/developer/edu/course-1078

以太坊的安全漏洞情況匯總
http://blockchainbrother.com/article/5585

揭秘以太坊蜜罐智能合約之神奇的邏輯漏洞
http://www.chaindd.com/3095676.html

個案分析-校園憑證伺服器感染北韓Volgmer木馬程式事件分析報告_10706
http://tacert.tanet.edu.tw/prog/opendoc.php?id=2018062512061616303054310658293.pdf

Sony Playstation 4 (PS4) - PS4 5.05 BPF Double Free Kernel Exploit Writeup
https://www.exploit-db.com/papers/45045/

Exploiting the Obvious - Bluetooth Trust Relationships
https://www.exploit-db.com/docs/english/45028-exploiting-the-obvious---bluetooth-trust-relationships.pdf

VLAN Hopping Attack
https://www.exploit-db.com/docs/english/45050-vlan-hopping-attack.pdf

Abusing Kerberos - Kerberoasting
https://www.exploit-db.com/docs/english/45051-abusing-kerberos---kerberoasting.pdf

FIRST PSIRT Services Framework
https://first.org/education/FIRST_PSIRT_Services_Framework_v1.0_draft_ja.pdf

2018 Q2季度APT趨勢報告
http://www.freebuf.com/news/177560.html

APT Trends Report Q2 2018
https://securelist.com/apt-trends-report-q2-2018/86487/


F.商業

【次世代防火牆:StormShield SN510】提供端點設備弱點管理功能,同時可呈現防護政策運作績效
https://www.ithome.com.tw/review/124470

FireEye提醒亞太企業 應變力與防護力應提升
http://www.runpc.com.tw/news.aspx?id=102081

整合內外部日誌及威脅情資 從正常操作行為中發現異常 主動獵捕威脅行徑 提高門檻消弭攻擊活動
http://www.netadmin.com.tw/article_content.aspx?sn=1807020009

整合HyTrust KeyControl金鑰管理 解除VM安全隱憂 加密vSphere虛機 防堵私有雲資料遭竊
http://www.netadmin.com.tw/article_content.aspx?sn=1807030002

Forcepoint發表業界首創「風險自適化」防護解決方案
http://www.digitalwall.com/scripts/displaypr.asp?UID=71313

從根本規畫發展策略與戰術 因應資安新趨勢 科學方法評估成熟度 逐步強化資安體質
http://www.netadmin.com.tw/article_content.aspx?sn=1807030004

趨勢科技鍛鍊菁英工程師妙招:辦一場只由「AI」參加的德州撲克賽
https://buzzorange.com/techorange/2018/07/17/trend-micro-ai-inside-competition/

符合​國家級等級 宜鼎獨家發表加密技術
https://tw.finance.appledaily.com/realtime/20180718/1393090/

提供安全免疫系統架構 全方位主動偵查異常環節 認知運算分析加持 惡意行為辨識力倍增
http://www.netadmin.com.tw/article_content.aspx?sn=1807040003

建立靈活安全數碼工作間 VMware 夥 Microware 助企業改善設備管理政策
https://unwire.pro/2018/07/18/vmware-microware/news/

企業普遍欠缺專業人才與領域知識 安全管理服務正夯 掌握檔案執行程序 排除正常凸顯異常
http://www.netadmin.com.tw/article_content.aspx?sn=1807040004


G.政府

臺灣資安管理的新標準
https://www.ithome.com.tw/voice/124545

【行政院預告資安法6大子法草案】適法機關落實法遵的參考指引(上)
https://www.ithome.com.tw/news/124541

【行政院預告資安法6大子法草案】適法機關落實法遵的參考指引(下)
https://www.ithome.com.tw/news/124543

洪仲丘案 三將官遭公懲會降級改敘與申誡
https://udn.com/news/story/7321/3257389

政府每月遭駭上千萬次!他替台灣資安畫藍圖
https://www.cw.com.tw/article/article.action?id=5091072

金管會104至106年應用大數據分析研究成果說明
https://www.ey.gov.tw/Page/AE5575EAA0A37D70/bad408d2-8270-4a76-8fc7-d51989a3e194

推行動支付 賴揆下令部會首長使用
https://bit.ly/2O2MVnJ


H.工控系統  SCADA


電網防護公司SEL爆多個漏洞,可導致拒絕服務
https://www.secrss.com/articles/3920

從羅克韋爾工控設備曝多項嚴重漏洞事件淺談如何保護工業現場工控設備
http://www.freebuf.com/articles/ics-articles/177552.html

醫療監控儀MyCareLink Patient二缺失,恐影響病患與裝置安全性
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=4984


I.教育訓練類

CSRF 漏洞
https://itw01.com/2P7VHE4.html

滲透測試框架:Pure Blood
http://t.cn/RgzMMJh

ROPGenerator – 構建ROP的工具
http://t.cn/RgzMMXZ

iClass,Indala和Prox卡克隆教程
http://t.cn/RgzMMSZ

「挖礦」是在挖什麼
https://blog.trendmicro.com.tw/?p=56134

如何使用IDAPython 尋找漏洞
https://www.anquanke.com/post/id/151898

Introduction to IDAPython for Vulnerability
https://www.somersetrecon.com/blog/2018/7/6/introduction-to-idapython-for-vulnerability-hunting

Web Architecture 101
https://engineering.videoblocks.com/web-architecture-101-a3224e126947

What exactly is Node.js
https://medium.freecodecamp.org/what-exactly-is-node-js-ae36e97449f5

J.玄武實驗室每日安全動態推送

每日安全動態推送(07-16)
http://tw.weibo.com/xuanwulab/4262396073646107

每日安全動態推送(07-17)
http://tw.weibo.com/xuanwulab/4262746440086226

每日安全動態推送(07-18)
http://tw.weibo.com/xuanwulab/4263110120212271

每日安全動態推送(07-19)
http://tw.weibo.com/xuanwulab/4263474072773651

每日安全動態推送(07-20)
http://tw.weibo.com/xuanwulab/4263833478481826



K.物聯網/IOT/人工智慧/車聯網/光聯網/深度學習/機器學習/無人機

感測系統連上線 邊緣智慧謢IIoT節點安全
http://www.mem.com.tw/arti.php?sn=1807130008

YPCloud透過共雲平台打造IoT應用生態圈
https://www.digitimes.com.tw/iot/article.asp?cat=158&id=0000536711_3946E0BQ2EX4S00QX1ITA

盤點物聯網最常見的幾大安全漏洞場景
http://iot.51cto.com/art/201807/579121.htm

會計師看時事/物聯網拚資安 要內外兼容
https://money.udn.com/money/story/8944/3262425




4.近期資安活動及研討會

  神盾盃—網路奪旗競賽  2018年07月15日(日)-2018年08月10日(六) 24:00止
  https://twcert.org.tw/subpages/securityInfo/securityactivity_details.aspx?id=253

  TDOH-PIPE 中區聚 & 業界職涯分享講座 | 201807   7/21
  https://tdohackerparty.kktix.cc/events/tdoh-mid-party-2018-07

  【課程】Kubernetes(K8S)實戰班,容器編排管理絕佳工具,理論實作並重,有效打造企業級DevOps環境 7/21 ~ 7/22
  https://bit.ly/2rAkB2q

  台灣駭客年會 HITCON Summer Training 2018 - 學生報名  7/23 ~ 7/26
  https://hitcon.kktix.cc/events/hitcon-summer-training-2018-student

  台灣駭客年會 HITCON Summer Training 2018  7/23 ~ 7/26
  https://hitcon.kktix.cc/events/hitcon-summer-training-2018

  107年度新興資安產業生態系推動計畫-資安專業人才培育委外人才培訓-ICS/SCADA資訊安全實務課程 7/23 ~ 7/24
  http://www.cisanet.org.tw/News/activity_more?id=MzQy

  MSAB-XRY手機鑑識新技術研討會  7/24
  https://docs.google.com/forms/d/e/1FAIpQLSdOh_PcNP0Bq77OB-E0haq66h1BZh-ycAK9jXRXekRNd9vBeA/viewform

  HITCON 啟動資安實戰攻防演練,讓 Summer Training 2018 成為您的軍師 7/24 ~ 7/25
  https://hitcon.kktix.cc/events/hitcon-summer-training-2018

  Pure Live Taipei 2018 7/25
  https://bit.ly/2l9hfQi

  107年度新興資安產業生態系推動計畫-資安專業人才培育委外人才培訓-資安攻防與監控實務課程 7/25 ~ 7/26
  http://www.cisanet.org.tw/News/activity_more?id=MzQx

  先進國家物聯網資安檢測制度推廣座談會 7/26
  https://www.ttc.org.tw/index.php?apps=events&action=more&id=74

  頂尖AI實驗室建立經驗分享-帶領實驗室及培育AI新世代人才之經驗分享 7/27
  https://goo.gl/v68sgr

  2018 Mini-SOC 資訊安全研習課程  7/27
  http://www.ctsh.hcc.edu.tw/main/sites/default/files/a107003775_1.pdf

  台灣駭客年會 HITCON 2018 Community 7/27 ~ 7/28
  https://hitcon.kktix.cc/events/hitcon-cmt-2018

  DDoS原理與實務  7/28
  https://hackercollege.nctu.edu.tw/?p=774

 【課程】LINE BOT x Webduino IoT開發實戰,打造 LINE聊天、氣象機器人,學會用 LINE直接控制 IoT裝置  7/29
  https://bit.ly/2KxatiA

  新型態資安暑期課程 7/30 ~ 8/5
  https://ais3.org/

  iThome【企業資安主動防禦】北高開講 7/31
  https://seminar.ithome.com.tw/live/180731/index.html

  凸顯公司產品大好時機 - 2018「創新軟體展示暨研討會」 7/31
  http://www.cisanet.org.tw/News/activity_more?id=MzQ2

  iThome【企業資安主動防禦】北高開講 8/2
  https://seminar.ithome.com.tw/live/180731/index.html

  【課程】企業最愛!專家帶你學 Spark 大數據處理平台,運用 Spark 快速處理巨量數據 8/4
  https://www.techbang.com/posts/59350-apache-spark-large-data-analysis-combat?from=flash_message

  2018 Digital Taipei 台北國際數位內容交流會 8/8
  https://www.facebook.com/events/219051555537276/

  教育部「資安實務導師(Mentor)培訓學員徵選活動」 8/8 前
  http://www.ccs.nptu.edu.tw/files/13-1006-87758-1.php?Lang=zh-tw

  NCCST 資安服務團-電子郵件安全管理 8/10
  https://register.nccst.nat.gov.tw/Active/registerDetail.do?activeId=883&activeType=course

  OpenChain 開源管理 (3) - An Intelligent Way to Go 8/10
  https://dmfli.kktix.cc/events/openchain3

  【課程】Arduino四軸飛行器開發實作,無人機硬體、無線遙控器、飛控軟體整合、飛行教學,一天學會 8/11
  https://bit.ly/2IBuLpb

  TANet資安趨勢與鑑識實務分享資安巡迴研討會 8/14
  http://tacert.mis.nsysu.edu.tw/files/11-1238-83.php

  107年度臺灣學術網路危機處理中心資安巡迴研討會-TANet資安趨勢與鑑識實務分享(高雄場) 8/14
  http://tacert.mis.nsysu.edu.tw/

  邁向IT管理新世代 研討會 8/15
  https://bit.ly/2uy3Je8

  Akamai Tech Day 8/16
  https://seminar.ithome.com.tw/live/20180816akamai/index.html?eDM_V1

  黑客松 第五屆 PIXNET HACKATHON:打造智慧生活共榮圈  8/18
  https://pixnet.kktix.cc/events/pixnethackthon2018

  TANet資安趨勢與鑑識實務分享資安巡迴研討會 8/22
  http://tacert.mis.nsysu.edu.tw/files/11-1238-83.php

  CLOUDSEC 2018 企業資安高峰論壇 8/23
  https://bit.ly/2KvdGCk

  2018 數位政府高峰會 8/24
  http://egov.ithome.com.tw/index.html

  TANet資安趨勢與鑑識實務分享資安巡迴研討會 8/28
  http://tacert.mis.nsysu.edu.tw/files/11-1238-83.php

  107年度臺灣學術網路危機處理中心資安巡迴研討會-TANet資安趨勢與鑑識實務分享(高雄上機場) 8/28
  http://tacert.mis.nsysu.edu.tw/

  【臺北場第一梯08/29】107年度新興資安產業生態系推動計畫-資安專業人才培育委外人才培訓-資安事故處理課程 8/28
  http://www.cisanet.org.tw/News/activity_more?id=MzQz

  第十一屆信息安全漏洞分析與風險評估大會(VARA2018) 9月
  http://www.cnnvd.org.cn/web/bulletinl/bulletinNoticeById.tag?mkid=146
 
  進階網頁滲透測試 9/2
  https://hackercollege.nctu.edu.tw/?p=323

  【臺北場09/13】107年度新興資安產業生態系推動計畫-資安專業人才培育-資安法規與制度研析課程 9/13 ~ 9/14
  http://www.cisanet.org.tw/News/activity_more?id=MzMy

  【臺北場第二梯09/19】107年度新興資安產業生態系推動計畫-資安專業人才培育委外人才培訓-資安事故處理課程 9/18
  http://www.cisanet.org.tw/News/activity_more?id=MzQ0

  防火牆與入侵偵測
  https://hackercollege.nctu.edu.tw/?p=588

  高階網頁滲透測試
  https://hackercollege.nctu.edu.tw/?p=768

  系統滲透測試與漏洞利用
  https://hackercollege.nctu.edu.tw/?p=764

  密碼系統之漏洞、修補與檢測
  https://hackercollege.nctu.edu.tw/?p=771

  DDoS原理與實務
  https://hackercollege.nctu.edu.tw/?p=774

  資安事故應變、鑑識、與偵防 10/14
  https://hackercollege.nctu.edu.tw/wp-content/uploads/2017-C001-DM.pdf

  JCCONF 2018  10/19
  https://jcconf.tw/2018/

  TANET 2018-台灣網際網路研討會 暨資訊工程X智慧計算學門成果發表會 10/21 ~ 10/26
  https://cis.ncu.edu.tw/SeminarSys/activity/TANET2018/home

  Metasploit與滲透測試實務 11/25 ~ 11/26
  https://hackercollege.nctu.edu.tw/?p=641

沒有留言:

張貼留言

資安事件新聞週報 2021/9/6 ~ 2021/9/10

  資安事件新聞週報 2021/9/6  ~  2021/9/10 1.重大弱點漏洞/後門/Exploit/Zero Day Cisco 發布Enterprise NFV Infrastructure Software(NFVIS)軟體安全更新 https://us-cert.c...