SecWiki周刊(第148期)
2016/12/26-2017/01/01
安全资讯
[漏洞分析]  Top 50 vendors having highest number of cve security vulnerabilities in 2016
http://www.cvedetails.com/top-50-vendors.php?year=2016
[事件]  国外地下市场出售70W+中国apple账号
http://www.mottoin.com/94716.html
[取证分析]  Firefox 52借鉴Tor浏览器引入防指纹跟踪功能
http://www.solidot.org/story?sid=50921
[会议]  挑战中寻找机遇:FreeBuf2017互联网安全创新大会(FIT)次日素描
http://www.freebuf.com/news/topnews/124099.html
[新闻]  网络安全威胁12月月报
http://blog.nsfocus.net/network-security-threat-monthly-201612/
[观点]  一个应用区块链技术的安全解决方案
http://www.aqniu.com/tools-tech/21936.html
[观点]  安全人员的一点思考和想法
https://zhuanlan.zhihu.com/p/24009563?refer=secant
[法规]   国务院关于印发 “十三五”国家信息化规划的通知
http://www.gov.cn/zhengce/content/2016-12/27/content_5153411.htm
安全技术
[Web安全]  PhpMailer存在远程代码执行漏洞,含分析,测试成功
https://nosec.org/?token=h4oslg7y30
[工具]  安全行业从业人员自研开源扫描器合集
https://github.com/We5ter/Scanners-Box
[取证分析]  Kali下安装Shadowsocks与利用ss和ProxyChains实现任意应用代理
http://www.freebuf.com/sectool/123931.html
[编程技术]  QQSpider: QQ空间爬虫(日志、说说、个人信息)
https://github.com/LiuXingMing/QQSpider
[视频]  Live-Streams – 33C3 Streaming 33C3会议直播
http://streaming.media.ccc.de/33c3
[Web安全]  Web应用防火墙竞品分析
http://mp.weixin.qq.com/s/5ed8Cr_4GFdQZ7bW3u3wBw
[编程技术]  rootkit制作基础知识,hook技术
https://d0hnuts.com/2016/12/21/basics-of-making-a-rootkit-from-syscall-to-hook/
[文档]  2016年高校网络信息安全学术年会 报告PPT下载
http://sec.edu-info.edu.cn/311
[编程技术]  QQ-Groups-Spider: QQ Groups Spider(QQ 群爬虫)
https://github.com/caspartse/QQ-Groups-Spider
[运维安全]  DAVScan: Fingerprints servers, finds exploits, scans WebDAV
https://github.com/Graph-X/davscan
[其它]  未完成的事 - 逆推乌云路人甲真实ID
http://www.thinkings.org//2016/12/25/wooyun-anonymous-reverse.html
[Web安全]  使用Docker构建渗透测试容器(安全相关Docker Image收集)
http://www.mottoin.com/94831.html
[漏洞分析]  PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln
http://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html
[工具]  Fern Wifi Cracker :无线安全审计工具
http://www.mottoin.com/94611.html
[Web安全]  DefectDojo:安全程序和漏洞管理工具
http://www.mottoin.com/94864.html
[Web安全]  Mathematica突破支付宝AR红包方法
http://www.kylen314.com/archives/7364
[运维安全]  DBShield: Database firewall written in Go 数据库透明代理防护系统
https://nim4.github.io/DBShield/
[Web安全]  Hacking-ElasticSearch: Elasticsearch使用安全注意事项
https://2016.zeronights.ru/wp-content/uploads/2016/12/Hacking-ElasticSearch.pdf
[无线安全]  Fansmitter利用声波入侵物理隔离系统
http://www.arkteam.net/?p=1450
[编程技术]  layui: 经典模块化前端框架(后端程序猿前端库)
http://www.layui.com/
[Web安全]  Docker的漏洞测试环境
https://github.com/MyKings/docker-vulnerability-environment
[移动安全]  移动平台流量黑产研究——色情播放器类恶意软件产业链
http://blogs.360.cn/blog/porn_player_underground_industry/
[Web安全]  如何在Kali Linux下编译Windows Exploit
http://www.mottoin.com/94732.html
[恶意分析]  My Favorite Threat Intel Tweets of 2016 威胁情报名人堂
http://www.cyintanalysis.com/my-favorite-threat-intel-tweets-of-2016/
[Web安全]  Pentesting Windows environments: remote delivery of PowerShell payloads
https://akondrat.blogspot.jp/2016/12/pentesting-windows-environments-remote.html
[Web安全]  mitmproxy: release v1.0.0 - 圣诞节版本
https://corte.si/posts/code/mitmproxy/announce_1_0/index.html
[其它]  (U) Review of the Unauthorized Disclosures of Former National Security Agency Co
https://info.publicintelligence.net/US-HPSCI-SnowdenReport.pdf
[Web安全]  各种脚本语言不同版本一句话开启 HTTP 服务器的总结
http://www.mottoin.com/94895.html
[设备安全]  IoTNotes: Internet of Things Notes in Chinese(IoT 笔记)
https://github.com/ideaTouch/IoTNotes
[Web安全]  Hack With XSLT(拓展样式表转换语言)
http://evi1cg.me/archives/Hack_With_XSLT.html
[设备安全]  分享一些支持企业安全工作的免费工具
http://www.freebuf.com/sectool/123851.html
[其它]  Encryption Working Group Year-End Report
https://info.publicintelligence.net/US-HouseEncryptionWorkingGroup-2016.pdf
[Web安全]  利用JavaScript进行后台文件上传getshell
http://ecma.io/?p=574
[其它]  Pastebin dump
http://psbdmp.com/dumps
[Web安全]  3 Critical Zero-Day Flaws Found in PHP 7 — One Remains Unpatched!
http://thehackernews.com/2016/12/php-7-update.html
[漏洞分析]  作者在Sebug提交的漏洞详情和POC
https://github.com/ganliuzhuo/Sebug
[移动安全]  黑云压城城欲摧 – 2016年iOS公开可利用漏洞总结
http://drops.wiki/index.php/2016/12/27/2016-ios-summary/
[杂志]  SecWiki周刊(第147期)
https://www.sec-wiki.com/weekly/147
[工具]  commix: Automated All-in-One OS command injection and exploitation tool.
https://github.com/commixproject/commix
[Web安全]  Powershell-Github-Shell:利用Github来做控制端的Powershell版本的Shell
http://www.mottoin.com/94685.html
[Web安全]  PHPMailer < 5.2.18 - Remote Code Execution (Python)
https://www.exploit-db.com/exploits/40974/?rss
[Web安全]  115 Browser 7.2.5 RCE Vulnerability
http://linux.im/2016/12/26/115Browser-725-rce-vuln.html
-----微信ID:SecWiki-----
SecWiki,12年来一直专注安全技术资讯分析!
SecWiki:https://www.sec-wiki.com

本期原文地址: SecWiki周刊(第148期)