回顧上周，最大的事件當屬在加拿大溫哥華舉辦的Pwn2Own大賽，它是全世界最著名、獎金最豐厚的黑客大賽。比賽當日，各路頂尖高手們齊聚，并對蘋果Safari、微軟Edge、谷歌Chrome等三大瀏覽器，Adobe Flash插件，VMware虛擬機等常用軟件發(fā)起攻擊，爭取獲得最高積分拿下比賽。參賽的中國軍團佳績頻傳!Flash、Safari、Chrome均被中國戰(zhàn)隊秒破。

[[164278]]

黑白帽：

Pwn2Own最新戰(zhàn)況： Flash、Safari、Chrome均被中國軍團秒破

17日凌晨，全球頂級破解大賽Pwn2Own最新戰(zhàn)況出爐，中國軍團佳績頻傳!騰訊安全聯(lián)隊Sniper戰(zhàn)隊3秒攻破Flash插件，實現(xiàn)系統(tǒng)級訪問，拿到5萬美元獎金和該項目全額積分13分。騰訊安全聯(lián)隊Shield戰(zhàn)隊5秒攻破蘋果Safari瀏覽器，獲得Roor權限，拿到4萬美元，成功獲得該項目全額積分10分。360 Vulcan Team 戰(zhàn)隊11秒攻破谷歌Chrome瀏覽器，并成功獲得系統(tǒng)最高權限，到手5.25萬美元獎金，這是中國安全團隊在Pwn2Own歷史上首次攻破Chrome。

揭秘0CTF線上賽國內(nèi)強隊——四川無聲PKAV戰(zhàn)隊

四川無聲-PKAV戰(zhàn)隊?他們是誰?他們來自哪里?這支起源于四川無聲雙螺旋研究院的年輕團隊，別名“PKAV”，建議大家讀的時候中間稍作停頓，“PK AV”。為什么這樣讀呢，因為這樣你就能讀出這個名字的真諦：“誓與AV搶宅男”!他們呼吁有志男青年們加入他們的行列，研究技術是很有意思的事情，相比……

傳奇黑客McAfee:人生就是個大寫的“作死”

正當蘋果公司與FBI因iPhone手機解密問題鬧得不可開交之時，有個人緩緩走過來說：三周內(nèi)如果我破解不了這部手機，就在電視直播現(xiàn)場吃掉自己的鞋子!這么一本正經(jīng)的玩笑，奈何出自傳奇黑客、安全公司McAfee創(chuàng)始人、百萬富翁、2016美國總統(tǒng)候選人——John McAfee之口，所以大家認真了。

美國總統(tǒng)大選，黑客組織“匿名者”也來湊熱鬧

法網(wǎng)恢恢：當年的iCloud艷照門涉案黑客，現(xiàn)已認罪伏法

惡意軟件：

云惡意軟件是小題大做還是真的邪乎?

雖然云應用本身很少遭泄露或直接感染惡意軟件，但云訪問安全代理Netskope公司表示云應用被證明是攻擊者瞄準的重要資產(chǎn)，因為他們試圖感染盡可能多的用戶和企業(yè)。Netskope公司首席科學家Krishna Narayanaswamy表示，當惡意文件或代碼感染單個用戶的客戶端設備并能夠快速通過云服務進行擴展。

銀行大盜“Carbanak”木馬的攻擊目標正移至中東

根據(jù)最新信息顯示，Carbanak組織主要針對中東、美國等地區(qū)的銀行開展網(wǎng)絡攻擊。一年前，卡巴斯基實驗室曾發(fā)出警告：小心網(wǎng)絡罪犯采用具有政府背景的APT工具和策略搶劫銀行。當時除了該組織之外，還發(fā)現(xiàn)兩個分別名為Metel和GCMAN的攻擊組織利用同樣的攻擊方式打劫銀行。

云安全：

云安全聯(lián)盟：2016年的十二大云安全威脅

云計算的共享特性和按需定制本質(zhì)除了給企業(yè)帶來效率上提升，也引入了新的安全威脅，有可能使企業(yè)得不償失。之前云安全聯(lián)盟(CSA)的報告便指出，云服務天生就能使用戶繞過公司范圍內(nèi)的安全策略，建立起自己的影子IT項目服務賬戶。新的安全控制策略必須被引入。

云訪問安全代理的“真正”價值

在2016年RSA大會上，企業(yè)首席信息安全官探討了云訪問安全代理(CASB)的價值，他們認為CASB模式是全面云安全的關鍵。在Garter公司副總裁兼分析師Neil MacDonald主持下，由首席信息安全官和安全主管組成的專題小組探討了為什么他們部署CASB以及他們?nèi)绾问褂肅ASB。

確保AWS安全：避免犯常見錯誤

如果想要確保AWS的安全性，那么第一步就是要知道應避免犯哪些錯誤。所以，如果想要邁出正確的一步，那么就應從常見的AWS安全性失誤前車之鑒中學得一二。云計算和軟件即服務(SaaS)已經(jīng)改變了IT安全領域，但并不是所有運行AWS環(huán)境的人員都能夠在第一時間了解到這一點的。

技術解析：

流量劫持攻擊之鏈路劫持剖析

鏈路劫持屬于流量劫持攻擊的一種，在電商領域較為常見，網(wǎng)絡上也有不少案例。有用戶反饋訪問公司部分業(yè)務的URL時被重定向至公司其他業(yè)務的URL，導致用戶無法請求所需的服務，嚴重影響了用戶體驗以及用戶利益。

如何使用Burpsuite破解Webshell密碼

Burp Suite 是用于攻擊web 應用程序的集成平臺。它包含了許多工具，并為這些工具設計了許多接口，以促進加快攻擊應用程序的過程。所有的工具都共享一個能處理并顯示HTTP 消息，持久性，認證，代理，日志，警報的一個強大的可擴展的框架。

OpenSSH后門獲取root密碼及防范研究

相對于Windows操作系統(tǒng)，Linux操作系統(tǒng)的密碼較難獲取，而很多Linux服務器都配置了Openssh服務，在獲取root權限的情況下，可以通過修改或者更新OpenSSH代碼等方法，截取并保存其SSH登錄賬號密碼，甚至可以留一個隱形的后門，達到長期控制linux服務器的目的。