SecWiki周刊(第150期)
2017/01/09-2017/01/15
安全资讯
[漏洞分析]  WhatsApp vulnerability allows snooping on encrypted messages
https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages
[事件]  回应支付宝登录漏洞事件 问题出在登录验证机制 消息称已经不存在任何风险
http://toutiao.secjia.com/alipay-respond-to-login-vulnerability
[取证分析]  看你们还敢不敢上剪刀手?V字拍照易被盗取指纹信息
http://sh.qq.com/a/20170112/032990.htm#p=2
[观点]  缅甸手机卡“畅销”中国 实名制难挡擦边球
http://tech.qq.com/a/20170111/005469.htm?t=1484095825844
[漏洞分析]  阿里巴巴直播防控中的实人认证技术
http://www.cnblogs.com/alisecurity/p/6273809.html
[事件]  吴洪声(奶罩)宣布即将全部停止洋葱服务
https://blog.yangcong.com/archives/457
[爆库]  Hacker Steals 900 GB of Cellebrite Data
http://motherboard.vice.com/read/hacker-steals-900-gb-of-cellebrite-data
[Web安全]  2017年网络安全问题预测TOP 11
http://www.mottoin.com/95295.html
安全技术
[Web安全]  Destoon 6.0 guestbook.php 通用SQL注入漏洞
https://www.leavesongs.com/PENETRATION/destoon-v6-0-sql-injection.html
[Web安全]  Web for Pentester II练习题解
http://bobao.360.cn/learning/detail/3369.html
[Web安全]  Elasticsearch 安全加固 101
http://elasticsearch.cn/article/129
[Web安全]  Acunetix发布网站安全辅助测试工具:Acunetix WVS Tools-MottoIN
http://www.mottoin.com/95403.html
[其它]  TLS协议分析系列-微信后台团队
http://chuansong.me/account/gh_93b1115dc96f
[文档]  Exploit-Exercises-Nebula 渗透教程
https://github.com/1u4nx/Exploit-Exercises-Nebula/
[Web安全]  Apache Struts远程命令执行(RCE)漏洞总结
http://www.mottoin.com/95256.html
[漏洞分析]  Racing for everyone: descriptor describes TOCTOU in Apple's core
http://keenlab.tencent.com/zh/2017/01/09/Racing-for-everyone-descriptor-describes-TOCTOU-in-Apple-s-core/
[Web安全]  [Bug Bounty] GitHub Enterprise SQL Injection
http://paper.seebug.org/176/?from=timeline&isappinstalled=0
[Web安全]  PHPMailer 命令执行漏洞(CVE-2016-10033)分析
https://blog.chaitin.cn/phpmailer-cve-2016-10033/
[取证分析]  暗网Trade Route市场购物指南
http://www.4hou.com/info/news/2566.html
[Web安全]  scantastic-tool: masscan和nmap扫描结果存到elasticsearch
https://github.com/maK-/scantastic-tool
[恶意分析]  sandbox-evasion-techniques-part-4
https://www.vmray.com/blog/sandbox-evasion-techniques-part-4/
[数据挖掘]  用Python玩玩OSMnx包获取道路数据并可视化分析
http://dataunion.org/26961.html
[运维安全]  美团点评业务风控系统构建经验
http://tech.meituan.com/risk-control-system-experience-sharing.html
[比赛]  阿里聚安全攻防挑战赛第三题Android PwnMe解题思路
https://jaq.alibaba.com/community/art/show?articleid=713
[Web安全]  3xp10it:一个自动化渗透测试框架
https://github.com/3xp10it/3xp10it
[工具]  自动下载并编译Linux提权exp的脚本
https://github.com/ngalongc/AutoLocalPrivilegeEscalation
[无线安全]  使用OpenBTS基站测试物联网模块安全性
http://www.freebuf.com/articles/wireless/124147.html
[Web安全]  浅谈动态爬虫与去重
http://bobao.360.cn/learning/detail/3391.html
[移动安全]  [Android 原创] 简单过搜狗输入法签名校验
http://www.52pojie.cn/thread-572664-1-1.html
[编程技术]  Yii2.0视频教程
http://www.weixistyle.com/
[取证分析]  利用Volatility进行Windows内存取证分析(一):初体验
http://www.freebuf.com/sectool/124690.html
[Web安全]  记一次众测(从XSS到二次SQL注射)
https://www.ohlinge.cn/web/xss_sql.html
[运维安全]  All banks domains and IPs
https://github.com/cloudipsp/all_banks_ips
[恶意分析]  Digital Lockpicking: Why Your Front Door Shouldn't Be On The Internet
https://labs.mwrinfosecurity.com/blog/when-biometric-access-control-devices-get-tcpip/
[工具]  AutoLocalPrivilegeEscalation :针对 linux 的自动化提权脚本
http://www.mottoin.com/95363.html
[恶意分析]  互联网黑势力之流量劫持
https://zhuanlan.zhihu.com/p/24828706
[工具]  CyberCrowl is a python Web path scanner tool
https://github.com/chamli/CyberCrowl
[Web安全]  由MurmurHash2 算法碰撞引起的Redis DDos攻击漏洞
http://paper.seebug.org/180/
[Web安全]  docker-0-day-stopped-cold-by-selinux
http://rhelblog.redhat.com/2017/01/13/docker-0-day-stopped-cold-by-selinux/
[设备安全]  乌克兰Ukrenergo断电事件技术分析与防护方案
http://blog.nsfocus.net/analysis-ukrenergo-blackout-event-ukraine/
[观点]  SDL.vs.入侵检测,源头和末端选哪头
http://weibo.com/ttarticle/p/show?id=2309404022881335015499
[Web安全]  通过Empire和PowerShell攻击JBoss
http://www.mottoin.com/95237.html
[Web安全]  Fluxion – 自动EvilAP攻击工具
http://www.mottoin.com/95289.html
[Web安全]  Operative- Framework:基于指纹的信息收集框架
http://www.mottoin.com/95222.html
[数据挖掘]  机器学习对抗性攻击
http://geek.csdn.net/news/detail/132656
[运维安全]  Cracking The 12+ Character Password Barrier, Literally
http://www.netmux.com/blog/cracking-12-character-above-passwords
[恶意分析]  Attacking UEFI Runtime Services and Linux
http://blog.frizk.net/2017/01/attacking-uefi-and-linux.html?m=1&from=timeline
[设备安全]  匡恩网络发布《2016工业控制网络安全态势报告》
http://www.aiweibang.com/yuedu/180159797.html
[移动安全]  macOS软件安全系列-软件内幕篇
https://zhuanlan.zhihu.com/p/24843835?refer=macos-sec
[工具]  Chromebackdoor
http://paper.seebug.org/171/
[运维安全]  FreeRouter_V2: 一个适用于OpenWRT的全平台xx路由方案
https://github.com/lifetyper/FreeRouter_V2
[无线安全]  A practical guide to RFID badge copying
https://blog.nviso.be/2017/01/11/a-practical-guide-to-rfid-badge-copying/
[Web安全]  awesome-cyber-skills:黑客技术训练环境
https://github.com/joe-shenouda/awesome-cyber-skills
[恶意分析]  以大站的名义:专注地下产业的网络基础设施
http://blog.netlab.360.com/fraudulent-top-sites-a-dedicated-underground-market-infrastructure-chinese/
[Web安全]  互联网黑势力之流量劫持
http://paper.seebug.org/181/
[设备安全]  乌克兰又断电了,看Ukrenergo断电事件的技术分析与防护方案
http://www.freebuf.com/articles/system/124979.html
[Web安全]  如何找到SQL注入中的盐
http://www.freebuf.com/articles/web/124785.html
[恶意分析]  Malware-Traffic-Analysis RIG-V FROM 109.234.38.150
http://malware-traffic-analysis.net/2017/01/11/index2.html
[Web安全]   A dynamic dictionary merger for successful dictionary based attacks.
https://github.com/k4m4/dymerge
[文档]  文字中挖安全--从安全资讯回顾2016
https://cdn.easyaq.com/EasyAQ.2016.Review.Report.pdf
[移动安全]  盘点2016年针对苹果Mac系统的恶意软件(附样本下载)
http://www.freebuf.com/articles/system/124728.html
[Web安全]  点我的链接我就能知道你用了哪些chrome插件
http://bobao.360.cn/learning/detail/3406.html
[恶意分析]  VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack)
http://forum.malekal.com/arnaque-support-telephonique-virus-zeus-t56754.html#p429867
[Web安全]  Chrome Extensions Probe 插件探测
http://linux.im/2017/01/09/Chrome-Extensions-Probe.html
-----微信ID:SecWiki-----
SecWiki,12年来一直专注安全技术资讯分析!
SecWiki:https://www.sec-wiki.com

本期原文地址: SecWiki周刊(第150期)