Lawrence’s List 072916

Lawrence Hoffman //
** advisory: 本博文中引用的技术和工具可能已过时，不适用于当前环境。但本文仍可作为学习机会，并可能更新或整合到现代工具和技术中。**

LastPass是我最喜欢的应用程序之一，但它每天都让我更加紧张。我还没有失去信心，尽管开启自动填充时方便得多。本周LastPass无处不在。此外，我们还有一些来自OnionScanner的精彩内容，以及我最喜欢的话题之一“为什么应该使用广告拦截器”。

LastPass在其浏览器扩展的自动填充功能方面出现了几个有趣的漏洞。其中一个漏洞允许仅通过利用LastPass用于确定用户是否在拥有凭据的域名上的正则表达式，就能将凭据转储到域名。这里的教训是请关闭自动填充。这可能要求您多次输入主密码，但自动填充非常危险。

我是如何让LastPass交出所有密码的

第二个LastPass漏洞允许劫持点击事件并访问RPC。这个漏洞比第一个更严重，它允许攻击者运行脚本、删除文件、更改主密码等。幸运的是，这两种情况似乎都已得到解决。

几周前，Sarah Jamie Lewis发布了一篇关于“暗网”基础设施的精彩文章，她使用OnionScan和一些数据可视化技巧创建了该文章。精彩的内容，对于了解隐私网络基础设施的样子来说是一篇有趣的读物。当然，许多人希望扫描和复制这项工作/进行自己的研究，AutomatingOSINT的Justin现在已经帮助我们实现了这一点。Justin创建了一个简单易行的分步教程，教您在Digital Ocean上设置自己的OnionScanner，并承诺在第二部分详细介绍如何创建图表。如果您不想自己扫描，他还在第一篇文章底部提供了数据集。
https://mascherari.press/onionscan-report-june-2016/

使用Python和OnionScan进行暗网OSINT：第一部分

广告拦截器运行在我所有的系统上，不仅因为我讨厌被广告和跟踪，还因为广告对我的电脑有害。我记得在互联网早期曾想过，如果我决定成为一个恶棍，我一定会尝试找到一种感染广告平台并将其用作传播载体的方法。我不认为这在当时完全是科幻，我几乎肯定不是第一个有这种想法的人，但现在这已经是常识了。如今，我看到人们从互联网上抓取广告进行分析，当我看到我的怀疑得到证实的文章，讲述有多少广告实际上在分发恶意软件时，我喜欢内心的独白。
https://www.proofpoint.com/us/threat-insight/post/massive-adgholas-malvertising-campaigns-use-steganography-and-file-whitelisting-to-hide-in-plain-sight

准备好了解更多了吗？
通过Antisyphon的实惠课程提升您的技能！
Pay-Forward-What-You-Can培训
提供直播/虚拟和点播服务

医生现在要看您了 如何在所有设备上拦截广告