SecWiki周刊(第146期)
2016/12/12-2016/12/18
安全资讯
[事件]  黑客Kapustkiy入侵俄罗斯驻荷兰大使馆领事部泄露护照号码和个人信息
http://www.mottoin.com/93851.html
[爆库]  雅虎披露10亿用户帐户信息失窃
http://www.solidot.org/story?sid=50738
[取证分析]  利用机器学习追踪黑客 佐治亚理工学院获1700万美元溯源项目
http://www.aqniu.com/news-views/21727.html
[其它]  黑客小说:杀手(第十二章 命运)
http://www.jianshu.com/p/49108134b9df
[新闻]  侵犯公民个人信息犯罪十大典型案例
http://news.sina.com.cn/c/2016-12-17/doc-ifxytkcf7934929.shtml
安全技术
[事件]  俄罗斯重要网络服务门户yandex.ru 13505910条用户数据泄露(附下载)
http://www.mottoin.com/93910.html
[Web安全]  免费的webshell查杀工具
http://www.shellpub.com/
[设备安全]  wordlist: 暴力破解字典库(IP摄像头默认密码)
https://github.com/jeanphorn/wordlist
[漏洞分析]  一道CTF的解密题破解过程
https://zhuanlan.zhihu.com/p/24422859
[Web安全]  AddThis Widget 调用 PostMessage API 导致上百万网站存在 XSS 漏洞
http://www.mottoin.com/94130.html
[漏洞分析]  密码管理软件 Teampass 存在未授权 SQL 注入漏洞
http://www.mottoin.com/93751.html
[设备安全]  物联网安全综述白皮书
http://blog.nsfocus.net/white-paper-security/
[Web安全]  漏洞预警:Joomla extension DT Register存在 SQL 注入漏洞
http://www.mottoin.com/93862.html
[运维安全]  使用 msiexec 绕过应用程序白名单
http://www.mottoin.com/94150.html
[Web安全]  Nagios Core < 4.2.2 Curl Command Injection/Code Execution
http://www.mottoin.com/93936.html
[移动安全]  Android安全之Intent_Scheme_Url攻击
http://yaq.qq.com/blog/16
[恶意分析]  分析Linux/Mirai.B蠕虫
http://www.mottoin.com/93625.html
[漏洞分析]  Splunk Enterprise <= 6.4.3 服务器端请求伪造漏洞
http://www.mottoin.com/93646.html
[恶意分析]  impfuzzy for Volatility:从内存镜像分析恶意程序
http://blog.jpcert.or.jp/2016/12/a-new-tool-to-d-d6bc.html
[无线安全]  WiFi万能钥匙原理与逆向分析(查询WiFi密码)
http://blog.csdn.net/u011721501/article/details/53612617
[工具]  官方手册:Atom 基础使用
https://atom-china.org/t/atom/62
[数据挖掘]  斯坦福课程: Data Mining for Cyber Security
http://web.stanford.edu/class/cs259d/
[Web安全]  VulScritp: 内网渗透脚本
https://github.com/0xwindows/VulScritp
[Web安全]  Bruteforcer:分布式多线程破解RAR文件密码(附工具下载)
http://www.freebuf.com/sectool/122481.html
[漏洞分析]  Chrome OS exploit: one byte overflow and symlinks
https://googleprojectzero.blogspot.tw/2016/12/chrome-os-exploit-one-byte-overflow-and.html
[Web安全]  【独家】XSS Bypass Cookbook
https://xianzhi.aliyun.com/forum/read/536.html
[无线安全]  探秘身份认证利器——声纹识别!
https://jaq.alibaba.com/community/art/show?articleid=661
[恶意分析]  Malware Training Sets: A machine learning dataset for everyone
http://marcoramilli.blogspot.jp/2016/12/malware-training-sets-machine-learning.html
[Web安全]  在线查杀webshell工具
http://n.shellpub.com/
[其它]  Modbus Stager: Using PLCs as a payload/shellcode distribution system:
http://www.shelliscoming.com/2016/12/modbus-stager-using-plcs-as.html
[Web安全]  Flask框架注入科普
http://www.mottoin.com/94149.html
[漏洞分析]  MS16-063补丁分析(JSCRIPT9.DLL)
http://www.mottoin.com/93762.html
[取证分析]  SECCON2016 取证题 WriteUP
https://lightless.me/archives/SECCON-2016-Forensics-WP.html
[恶意分析]  史上最全的njRAT通信协议分析
http://www.freebuf.com/articles/network/122244.html
[编程技术]  HighAnonProxyPool:高匿代理池 ProxyPool
https://github.com/eastrd/HighAnonProxyPool
[恶意分析]  McAfee for Linux Vulnerability Writeup
http://www.mottoin.com/94066.html
[漏洞分析]  NETGEAR 系列路由器命令执行漏洞简析
http://paper.seebug.org/145/
[编程技术]  TDD 方法开发渗透测试工具:代理扫描器(第二集)
http://www.freebuf.com/sectool/122124.html
[恶意分析]  计算机病毒百科全书
http://virus.wikidot.com/
[杂志]  SecWiki周刊(第145期)
https://www.sec-wiki.com/weekly/145
[编程技术]  proxy_pool: 简易爬虫代理池
https://github.com/jhao104/proxy_pool
[Web安全]  Wordpress 主题后门分析
http://paper.seebug.org/140/
[漏洞分析]  Microsoft Word OneTableDocumentStream 整数下溢漏洞分析(CVE-2016-7290)
http://www.mottoin.com/93865.html
[恶意分析]  MiKey - A Linux Keylogger (恶意后门分析)
http://www.morphick.com/resources/lab-blog/mikey-linux-keylogger
[Web安全]  Rar_crack: 开源RAR暴力破解工具
https://github.com/bend/Rar_crack
[漏洞分析]  The State of Wordpress Security
https://blog.ripstech.com/2016/the-state-of-wordpress-security/
[漏洞分析]  Garlic: 一个畸形样本自动生成工具
http://www.asm64.com/garlic/
[设备安全]  软硬皆施,深入揭密Syscan360会议胸牌破解奥义
http://bobao.360.cn/learning/detail/3288.html
[工具]  Vane:开源WordPress安全检测工具
http://www.mottoin.com/93624.html
[移动安全]  中国市场手机系统安全检测报告(全文)
http://www.aqniu.com/industry/21693.html
[Web安全]  雅虎邮箱存储型XSS漏洞分析
http://www.freebuf.com/vuls/122455.html
[其它]  Password Guidance: Simplifying Your Approach
https://www.ncsc.gov.uk/guidance/password-guidance-simplifying-your-approach
[移动安全]  CVE-2016-6771: Android语音信箱伪造漏洞分析
https://security.tencent.com/index.php/blog/msg/110
[Web安全]  利用PHP的mail函数来进行远程代码执行
https://www.saotn.org/exploit-phps-mail-get-remote-code-execution
[工具]  Whistle:跨平台web调试代理工具
http://www.mottoin.com/94052.html
[Web安全]  如何搭建自己的密码破解设备(How To Build A Password Cracking Rig)
http://www.netmux.com/blog/how-to-build-a-password-cracking-rig
[移动安全]  Mobile Application Penetration Testing Cheat Sheet
https://github.com/tanprathan/MobileApp-Pentest-Cheatsheet
[工具]  【利用脚本】McAfee Virus Scan Enterprise for Linux - Remote Code Execution
https://github.com/netwrkspider/dedsectools
[Web安全]  Cracking Magento passwords for $1
https://gwillem.gitlab.io/2016/12/16/cracking-magento-passwords/
-----微信ID:SecWiki-----
SecWiki,12年来一直专注安全技术资讯分析!
SecWiki:https://www.sec-wiki.com

本期原文地址: SecWiki周刊(第146期)