SecWiki周刊（第150期)

SecWiki周刊（第150期）

2017/01/09-2017/01/15

安全资讯

[新闻] 全球网络安全融资排行榜发布
http://mp.weixin.qq.com/s?__biz=MzA4NDA3ODc3OQ==&mid=3045890648&idx=1&sn=928c6ab725a3d773d19ebeee49b02441

[事件] 回应支付宝登录漏洞事件问题出在登录验证机制消息称已经不存在任何风险
http://toutiao.secjia.com/alipay-respond-to-login-vulnerability

[漏洞分析] WhatsApp vulnerability allows snooping on encrypted messages
https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages

[取证分析] 看你们还敢不敢上剪刀手？V字拍照易被盗取指纹信息
http://sh.qq.com/a/20170112/032990.htm#p=2

[观点] 缅甸手机卡“畅销”中国实名制难挡擦边球
http://tech.qq.com/a/20170111/005469.htm?t=1484095825844

[漏洞分析] 阿里巴巴直播防控中的实人认证技术
http://www.cnblogs.com/alisecurity/p/6273809.html

[事件] 吴洪声（奶罩）宣布即将全部停止洋葱服务
https://blog.yangcong.com/archives/457

[爆库] Hacker Steals 900 GB of Cellebrite Data
http://motherboard.vice.com/read/hacker-steals-900-gb-of-cellebrite-data

[法规] 2016年全球网络空间安全大事记（政策篇）
https://mp.weixin.qq.com/s?__biz=MjM5Mzg0NTU0NQ==&mid=2649565440&idx=1&sn=15b2b507222c07f75360ddb236606a06&chksm=be89514689fed850917ad1ddba342143596080d09e5d62dd2b3291a79c59d508bff705be3c67

[Web安全] 2017年网络安全问题预测TOP 11
http://www.mottoin.com/95295.html

[新闻] 安全联盟 2016年度网络诈骗数据报告
http://mp.weixin.qq.com/s?__biz=MzIxNDEwNjE0Ng==&mid=2650989767&idx=1&sn=bdb22fffef7af0b4802003f68f19b945&chksm=8c5aed8abb2d649cc3cdb78d541af3e329d8d1cea3bb6164a496c1e68b2af2f017f100610e94#rd

安全技术

[Web安全] Destoon 6.0 guestbook.php 通用SQL注入漏洞
https://www.leavesongs.com/PENETRATION/destoon-v6-0-sql-injection.html

[Web安全] Web for Pentester II练习题解
http://bobao.360.cn/learning/detail/3369.html

[Web安全] Acunetix发布网站安全辅助测试工具：Acunetix WVS Tools-MottoIN
http://www.mottoin.com/95403.html

[Web安全] Elasticsearch 安全加固 101
http://elasticsearch.cn/article/129

[Web安全] Apache Struts远程命令执行（RCE）漏洞总结
http://www.mottoin.com/95256.html

[其它] TLS协议分析系列-微信后台团队
http://chuansong.me/account/gh_93b1115dc96f

[文档] Exploit-Exercises-Nebula 渗透教程
https://github.com/1u4nx/Exploit-Exercises-Nebula/

[漏洞分析] Racing for everyone: descriptor describes TOCTOU in Apple's core
http://keenlab.tencent.com/zh/2017/01/09/Racing-for-everyone-descriptor-describes-TOCTOU-in-Apple-s-core/

[Web安全] PHPMailer 命令执行漏洞（CVE-2016-10033）分析
https://blog.chaitin.cn/phpmailer-cve-2016-10033/

[Web安全] [Bug Bounty] GitHub Enterprise SQL Injection
http://paper.seebug.org/176/?from=timeline&isappinstalled=0

[取证分析] 暗网Trade Route市场购物指南
http://www.4hou.com/info/news/2566.html

[Web安全] scantastic-tool: masscan和nmap扫描结果存到elasticsearch
https://github.com/maK-/scantastic-tool

[恶意分析] sandbox-evasion-techniques-part-4
https://www.vmray.com/blog/sandbox-evasion-techniques-part-4/

[数据挖掘] 用Python玩玩OSMnx包获取道路数据并可视化分析
http://dataunion.org/26961.html

[编程技术] 虚拟化技术介绍
http://blog.nsfocus.net/introduction-virtualization-technology/

[运维安全] 美团点评业务风控系统构建经验
http://tech.meituan.com/risk-control-system-experience-sharing.html

[恶意分析] APT28: At the Center of the Storm
https://www.fireeye.com/blog/threat-research/2017/01/apt28_at_the_center.html

[比赛] 阿里聚安全攻防挑战赛第三题Android PwnMe解题思路
https://jaq.alibaba.com/community/art/show?articleid=713

[Web安全] 3xp10it:一个自动化渗透测试框架
https://github.com/3xp10it/3xp10it

[工具] 自动下载并编译Linux提权exp的脚本
https://github.com/ngalongc/AutoLocalPrivilegeEscalation

[Web安全] 浅谈动态爬虫与去重
http://bobao.360.cn/learning/detail/3391.html

[无线安全] 使用OpenBTS基站测试物联网模块安全性
http://www.freebuf.com/articles/wireless/124147.html

[移动安全] [Android 原创] 简单过搜狗输入法签名校验
http://www.52pojie.cn/thread-572664-1-1.html

[运维安全] ThreatConnect出品：威胁情报平台（TIP）
https://mp.weixin.qq.com/s?__biz=MzI4NzU2NjU4NQ==&mid=2247483690&idx=1&sn=85fd11220961f27e56a4e08dfda12238&chksm=ebcafebcdcbd77aa67fb968eb7fa1f691a610cf268f5d5f63f04405a5c86057513b43e6855df

[编程技术] Yii2.0视频教程
http://www.weixistyle.com/

[Web安全] 基于Web的应用程序的漏洞
http://resources.infosecinstitute.com/vulnerability-of-web-based-applications/

[取证分析] 利用Volatility进行Windows内存取证分析(一)：初体验
http://www.freebuf.com/sectool/124690.html

[运维安全] All banks domains and IPs
https://github.com/cloudipsp/all_banks_ips

[恶意分析] Digital Lockpicking: Why Your Front Door Shouldn't Be On The Internet
https://labs.mwrinfosecurity.com/blog/when-biometric-access-control-devices-get-tcpip/

[Web安全] 记一次众测（从XSS到二次SQL注射）
https://www.ohlinge.cn/web/xss_sql.html

[工具] AutoLocalPrivilegeEscalation ：针对 linux 的自动化提权脚本
http://www.mottoin.com/95363.html

[恶意分析] 互联网黑势力之流量劫持
https://zhuanlan.zhihu.com/p/24828706

[Web安全] 由MurmurHash2 算法碰撞引起的Redis DDos攻击漏洞
http://paper.seebug.org/180/

[工具] CyberCrowl is a python Web path scanner tool
https://github.com/chamli/CyberCrowl

[Web安全] 通过Empire和PowerShell攻击JBoss
http://www.mottoin.com/95237.html

[设备安全] 乌克兰Ukrenergo断电事件技术分析与防护方案
http://blog.nsfocus.net/analysis-ukrenergo-blackout-event-ukraine/

[观点] SDL.vs.入侵检测，源头和末端选哪头
http://weibo.com/ttarticle/p/show?id=2309404022881335015499

[Web安全] docker-0-day-stopped-cold-by-selinux
http://rhelblog.redhat.com/2017/01/13/docker-0-day-stopped-cold-by-selinux/

[Web安全] Fluxion – 自动EvilAP攻击工具
http://www.mottoin.com/95289.html

[Web安全] Operative- Framework：基于指纹的信息收集框架
http://www.mottoin.com/95222.html

[数据挖掘] 机器学习对抗性攻击
http://geek.csdn.net/news/detail/132656

[工具] Chromebackdoor
http://paper.seebug.org/171/

[移动安全] macOS软件安全系列-软件内幕篇
https://zhuanlan.zhihu.com/p/24843835?refer=macos-sec

[运维安全] Cracking The 12+ Character Password Barrier, Literally
http://www.netmux.com/blog/cracking-12-character-above-passwords

[设备安全] 匡恩网络发布《2016工业控制网络安全态势报告》
http://www.aiweibang.com/yuedu/180159797.html

[运维安全] 使用 STIX™ 规范网络威胁情报信息
http://blog.nsfocus.net/wp-content/uploads/2017/01/%E3%80%90%E5%85%AC%E7%9B%8A%E8%AF%91%E6%96%87%E3%80%91STIX%E7%99%BD%E7%9A%AE%E4%B9%A620170103.pdf

[恶意分析] Attacking UEFI Runtime Services and Linux
http://blog.frizk.net/2017/01/attacking-uefi-and-linux.html?m=1&from=timeline

[运维安全] FreeRouter_V2: 一个适用于OpenWRT的全平台xx路由方案
https://github.com/lifetyper/FreeRouter_V2

[无线安全] A practical guide to RFID badge copying
https://blog.nviso.be/2017/01/11/a-practical-guide-to-rfid-badge-copying/

[恶意分析] 以大站的名义：专注地下产业的网络基础设施
http://blog.netlab.360.com/fraudulent-top-sites-a-dedicated-underground-market-infrastructure-chinese/

[Web安全] awesome-cyber-skills:黑客技术训练环境
https://github.com/joe-shenouda/awesome-cyber-skills

[Web安全] Web App Penetration Testing Local File Inclusion (LFI) Testing Techniques
chrome-extension://ikhdkkncnoglghljlkmcimlnlhkeamad/pdf-viewer/web/viewer.html?file=https%3A%2F%2Fdl.packetstormsecurity.net%2Fpapers%2Fgeneral%2Flfi-testing.pdf

[Web安全] 互联网黑势力之流量劫持
http://paper.seebug.org/181/

[Web安全] 如何找到SQL注入中的盐
http://www.freebuf.com/articles/web/124785.html

[设备安全] 乌克兰又断电了，看Ukrenergo断电事件的技术分析与防护方案
http://www.freebuf.com/articles/system/124979.html

[Web安全] 点我的链接我就能知道你用了哪些chrome插件
http://bobao.360.cn/learning/detail/3406.html

[文档] 文字中挖安全--从安全资讯回顾2016
https://cdn.easyaq.com/EasyAQ.2016.Review.Report.pdf

[恶意分析] Malware-Traffic-Analysis RIG-V FROM 109.234.38.150
http://malware-traffic-analysis.net/2017/01/11/index2.html

[Web安全] A dynamic dictionary merger for successful dictionary based attacks.
https://github.com/k4m4/dymerge

[移动安全] 盘点2016年针对苹果Mac系统的恶意软件（附样本下载）
http://www.freebuf.com/articles/system/124728.html

[恶意分析] VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack)
http://forum.malekal.com/arnaque-support-telephonique-virus-zeus-t56754.html#p429867

[Web安全] Chrome Extensions Probe 插件探测
http://linux.im/2017/01/09/Chrome-Extensions-Probe.html

-----微信ID：SecWiki-----
SecWiki，13年来一直专注安全技术资讯分析！
SecWiki：https://www.sec-wiki.com

本期原文地址: SecWiki周刊(第150期)

SecWiki周刊（第150期）

最新公告

友情链接

SecWiki公众号

安全学术圈