SecWiki周刊（第372期)

2021/04/12-2021/04/18

安全技术

[Web安全] Spring Boot中关于%2e的Trick
http://rui0.cn/archives/1643

[Web安全] 哥斯拉插件开发指南——初入茅庐
https://mp.weixin.qq.com/s/Q2eFRQQCEVf4bf_jNsWX2g

[Web安全] 深入 .NET ViewState 反序列化及其利用
https://mp.weixin.qq.com/s/RlY5HL_ak4G8EdcXyevWDg

[Web安全] “域前置Cobalt Strike”之踩坑
https://mp.weixin.qq.com/s/Wh-A3qiyrjPv0KzYeAS-Xw

[漏洞分析] Chromium V8 JavaScript引擎远程代码执行漏洞分析讨论
http://noahblog.360.cn/chromium_v8_remote_code_execution_vulnerability_analysis/

[Web安全] InScan: 边界打点后的自动化渗透工具
https://github.com/inbug-team/InScan/

[Web安全] Driftingblues5靶机实战
https://www.sec-in.com/article/1021

[Web安全] MindAPI: Bringing order to API hacking chaos
https://github.com/dsopas/MindAPI

[杂志] SecWiki周刊（第371期)
https://www.sec-wiki.com/weekly/371

[漏洞分析] Spring Boot Fat Jar 写文件漏洞到稳定 RCE 的探索
https://landgrey.me/blog/22/

[Web安全] Java执行shellcode的几种方法
https://mp.weixin.qq.com/s/p74WQwOfkSSZlsuRDke8jw

[运维安全] 三款开源HIDS功能对比评估
https://mp.weixin.qq.com/s/6zLrq-jfkaQWBdeNO2RaYQ

[漏洞分析] 从BCTF人机对抗视角浅谈自动化攻防技术发展
https://mp.weixin.qq.com/s/5wR37FLoTPn3fftxZw_Brw

[恶意分析] 基于TTPs的自动化威胁主体追踪技术
https://mp.weixin.qq.com/s/VMOEL7jIQZPZwdCtXo0e3Q

[恶意分析] 主流WebShell工具流量层分析
https://xz.aliyun.com/t/9404

[Web安全] 微信小程序反编译
https://www.sec-in.com/article/1012

[Web安全] HackMyVM：CROSSROADS:1
https://www.sec-in.com/article/1009

[漏洞分析] SmartyPHP沙箱逃逸分析
https://www.anquanke.com/post/id/235505

-----微信ID：SecWiki-----
SecWiki，13年来一直专注安全技术资讯分析！
SecWiki：https://www.sec-wiki.com