Lawrence’s List 072916

Lawrence Hoffman //
** advisory: 本博文提及的技术和工具可能已过时，不适用于当前环境。但本文仍可作为学习资料，并可能为现代工具和技术的更新或集成提供参考。**

LastPass是我最喜爱的应用程序之一，但它日益让我感到不安。尽管我尚未完全失去信心，但当初启用自动填充功能时确实方便得多。本周LastPass成为焦点话题。此外，我们还将探讨OnionScanner的一些精彩内容，以及我最喜欢的话题之一——“为什么应该使用广告拦截器”。

LastPass的浏览器扩展自动填充功能近期被报告存在多个有趣漏洞。其中一个漏洞允许通过利用LastPass用于判断用户是否处于已存储凭证域的正则表达式，直接导出该域的凭据。此事件的教训是：请关闭自动填充功能。虽然可能需要频繁输入主密码，但自动填充确实存在风险。

《我是如何让LastPass泄露所有密码的》

第二个LastPass漏洞允许劫持点击事件并访问RPC（远程过程调用）。此漏洞比第一个更严重，攻击者可借此运行脚本、删除文件、修改主密码等。值得庆幸的是，这两个问题似乎均已修复。

几周前，Sarah Jamie Lewis发布了一篇关于“暗网”基础设施的精彩文章，她使用OnionScan和一些数据可视化技术完成了这项研究。这项成果非常有趣，通过它可了解隐私网络基础设施的构成。当然，许多人希望扫描和复制这项研究或开展自己的调查，AutomatingOSINT的Justin现已为我们提供了帮助。Justin创建了详细的逐步教程，指导如何在Digital Ocean上设置自己的OnionScanner，并承诺在第二部分详细介绍图表生成方法。如果您不想亲自扫描，他在第一篇文章底部也提供了数据集。
https://mascherari.press/onionscan-report-june-2016/

《使用Python和OnionScan进行暗网OSINT：第一部分》

我的所有系统都运行广告拦截器，不仅因为我讨厌被广告推送和跟踪，还因为广告对计算机有害。我记得在互联网早期曾想过：如果我要成为恶人，一定会尝试感染广告平台并将其作为传播载体。当时这并非科幻想法，我也绝非第一个有这种想法的人，而如今这已成为常识。现在，我看到有人从互联网抓取广告进行分析，当看到关于“多少广告实际分发恶意软件”的文章证实我的猜测时，内心的独白总是令人愉悦。
https://www.proofpoint.com/us/threat-insight/post/massive-adgholas-malvertising-campaigns-use-steganography-and-file-whitelisting-to-hide-in-plain-sight

准备好深入学习了吗？
通过Antisyphon的平价课程提升技能！
支持“随愿付费”培训
提供实时/虚拟课程和点播服务

《医生现在为您服务：如何屏蔽所有设备上的广告》