SecWiki周刊(第261期)
2019/02/25-2019/03/03
安全资讯
[观点]  深度解读:RSAC2019创新沙盒大赛
https://mp.weixin.qq.com/s/15w_RUG2PRiK6B1y7G16Jg
[新闻]  数字化时代与美国情报部门的开源信息利用
https://mp.weixin.qq.com/s/_ndxkqPfgPjaT_fD82RVvQ
安全技术
[漏洞分析]  WordPress 远程代码执行漏洞分析 (CVE-2019-8942/CVE-2019-8943)
https://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-wordpress-remote-code-execution-vulnerabilities-cve-2019-8942-and-cve-2019-8943/
[Web安全]  记一次渗透实战——漏洞组合拿shell
https://mp.weixin.qq.com/s/bUl-scwQmTYq3zychxXKhQ
[Web安全]  从 SSRF 到最终获取 AWS S3 Bucket 访问权限
https://medium.com/@logicbomb_1/chain-of-hacks-leading-to-database-compromise-b2bc2b883915
[Web安全]  windows系统文件命名规则的特殊利用
https://mp.weixin.qq.com/s/On4yLlCHK20LBzAEEd5h_Q
[Web安全]  Jenkins 远程代码执行漏洞(CVE-2019-1003000)复现
http://www.fr1sh.com/?post=21
[Web安全]  从两道CTF实例看python格式化字符串漏洞
https://www.anquanke.com/post/id/170620#h2-13
[移动安全]  金融行业移动App安全标准化建设研究
https://www.kiwisec.com/news/detail/5c762d68c649181e28b81e47.html
[取证分析]  恶意邮件智能监测与溯源技术研究
https://www.freebuf.com/column/196663.html
[设备安全]  2018年工业控制网络安全态势白皮书(上篇)
https://mp.weixin.qq.com/s/w7aC7HzicQb4Hritde6b8g
[数据挖掘]  根因分析初探:一种报警聚类算法在业务系统的落地实施
https://mp.weixin.qq.com/s/inKDcHLaP4M2ZbpxACORXw
[设备安全]  2018年工业控制网络安全态势白皮书(下篇)
https://mp.weixin.qq.com/s/4aX4qzTn6ERIP1AwQuTV9Q
[漏洞分析]  使用x64dbg分析微信并获取所有联系人信息
https://www.freebuf.com/articles/terminal/195774.html
[数据挖掘]  Kerberos协议探索系列之扫描与爆破篇
https://mp.weixin.qq.com/s/CMt7NX0sVJip7A8CZq8k-A
[取证分析]  Duality:基于同态加密的数据分析和隐私保护方案
https://mp.weixin.qq.com/s/8bbbejUX3ik1F5XXuhcU_Q
[Web安全]  安全测试checklist
https://bloodzer0.github.io/ossa/application-security/security-testing/checklist/
[Web安全]  Edge 自定义 URI 滥用漏洞(CVE-2018-8495)利用
https://github.com/kmkz/exploit/blob/master/CVE-2018-8495.html
[Web安全]  HTTP的同源策略与跨域资源共享(CORS)机制
https://www.freebuf.com/articles/web/195925.html
[运维安全]  使用supervisor设置服务端frp开机启动
https://www.92ez.com/?action=show&id=23484
[Web安全]  从文件读取到彻底挖掘后端海量敏感数据
https://nosec.org/home/detail/2279.html
[Web安全]  npm 生态系统安全威胁研究
https://arxiv.org/pdf/1902.09217.pdf
[设备安全]  3D Accelerated Exploitation
https://labs.mwrinfosecurity.com/assets/BlogFiles/offensivecon-2019-3d-accelerated-exploitation-jason-matthyser.pdf
[Web安全]  10000美金—Facebook上的支付漏洞
https://nosec.org/home/detail/2281.html
[Web安全]  "Video Downloader" 及 "Video Downloader Plus" 绕过 CSP 的 UXSS 漏洞详情
https://thehackerblog.com/video-download-uxss-exploit-detailed/
[漏洞分析]  %00截断配合反序列化的奇妙利用
https://www.anquanke.com/post/id/170848
[运维安全]  WireWheel:基于SaaS的企业数据隐私协同保护平台
https://mp.weixin.qq.com/s/f_iuMztspla014rQEfY6kQ
[移动安全]  APP安全测试(持续更新)
https://bloodzer0.github.io/ossa/application-security/security-testing/app-security-testing/
[漏洞分析]  attacks on PDF Signatures.
https://www.pdf-insecurity.org/signature/signature.html
[恶意分析]  Cisco Talos Honeypot Analysis Reveals Rise in Attacks on Elasticsearch Clusters
https://blog.talosintelligence.com/2019/02/cisco-talos-honeypot-analysis-reveals.html
[恶意分析]  defeating-compiler-level-obfuscations-used-in-apt10-malware
https://www.carbonblack.com/2019/02/25/defeating-compiler-level-obfuscations-used-in-apt10-malware/
[观点]  创新沙盒,由开源商业模式说起 - RSAC2019之一
https://mp.weixin.qq.com/s/O1o8_bf_WkmVGLEMkPaAiQ
[杂志]  SecWiki周刊(第260期)
https://www.sec-wiki.com/weekly/260
[Web安全]   DuckDuckGo上Blind XXE漏洞防护绕过
https://nosec.org/home/detail/2284.html
[Web安全]  利用缓存欺骗获取他人敏感信息
https://nosec.org/home/detail/2286.html
[设备安全]  基于ONVIF协议的物联网设备参与DDoS反射攻击
https://www.freebuf.com/articles/system/196186.html
-----微信ID:SecWiki-----
SecWiki,13年来一直专注安全技术资讯分析!
SecWiki:https://www.sec-wiki.com

本期原文地址: SecWiki周刊(第261期)