SecWiki周刊(第230期)
2018/07/23-2018/07/29
安全资讯
[人物]  猪八戒网安全负责人陈继安—理想的安全是人和技术的融合
https://mp.weixin.qq.com/s/AHkevK0uizizWG8fIcXWMQ
[新闻]  追踪“数据堂”:特大侵犯个人信息专案
https://news.caijingmobile.com/article/detail/368419
[其它]  一个新的蓝牙高危漏洞被发现,或影响数百万台设备
http://www.4hou.com/vulnerable/12763.html
安全技术
[Web安全]  Jenkins 任意文件读取漏洞复现与分析-CVE-2018-1999002
https://xz.aliyun.com/t/2486
[Web安全]  首个Spark REST API未授权漏洞利用分析
https://xz.aliyun.com/t/2490
[Web安全]  U2C:Unicode转中文的Burp Suite插件
http://www.polaris-lab.com/index.php/archives/556/
[漏洞分析]  摄像头漏洞挖掘入门教程(固件篇)
https://paper.seebug.org/649/
[Web安全]  WebShell下的交互式Shell
http://blog.evalbug.com/2018/07/25/antsword_prompt_shell/
[漏洞分析]  OneThink1.0文件缓存漏洞分析及题目复现
https://www.anquanke.com/post/id/152584
[漏洞分析]  gosec: Golang security checker
https://github.com/securego/gosec?from=timeline
[移动安全]  Android Native Hook工具实践
https://mp.weixin.qq.com/s/iAEN9dDvdWwxc7-aYgmMVQ
[漏洞分析]  Oracle Privilege Escalation via Deserialization
http://obtruse.syfrtext.com/2018/07/oracle-privilege-escalation-via.html
[Web安全]  nday漏洞还原分析之dedecms后台getshell
https://xz.aliyun.com/t/2470
[文档]  Gartner 2018年大中华区CIO峰会PPT资料汇总
https://pan.baidu.com/s/1kCD-K2sh4VWOu8fLqBuRRA
[设备安全]  利用DOCX文档远程模板注入执行宏
https://xz.aliyun.com/t/2496
[其它]  2018年上半年国内公有云云上资产合规现状报告
https://www.sohu.com/a/243849172_100109628
[编程技术]  py2neo使用指南
http://foreversong.cn/archives/1271
[Web安全]  代码审计Day3 - 实例化任意对象漏洞
https://xz.aliyun.com/t/2459
[漏洞分析]  Apache Shiro 1.2.4反序列化漏洞分析
http://www.freebuf.com/vuls/178014.html
[其它]  Windows Forensics: Event Trace Logs
https://www.sans.org/summit-archives/file/summit-archive-1528388048.pdf
[Web安全]  代码审计Day4 - strpos使用不当引发漏洞
https://xz.aliyun.com/t/2467
[论文]  VulDeePecker:基于深度学习的漏洞检测系统
http://www.arkteam.net/?p=3928
[文档]  2018自然语言处理研究报告
https://pan.baidu.com/s/1TP5eYop2Iz4M7PDfEhKC_A
[编程技术]  x86_64逆向工程简介
https://xz.aliyun.com/t/2487
[Web安全]  聚合和记录各种SQL注入方法的WIKI
http://sqlwiki.radare.cn/#/
[会议]  自然语言处理顶会 ACL 2018 参会见闻
https://mp.weixin.qq.com/s/7IJDHvSLtNBxFRE8t9suyQ
[视频]  学术英语写作专项课程系列
http://coursegraph.com/coursera-specializations-academic-english
[Web安全]  SharkApktool 源码攻略
https://bbs.ichunqiu.com/thread-43219-1-1.html?from=sec
[视频]  2018网络技术通识公开课合集&夺命作业题
https://mp.weixin.qq.com/s/nFdq45k344JdEvy1T1tvgg
[Web安全]  PHP-Audit-Labs题解之Day1-4
https://xz.aliyun.com/t/2491
[文档]  APT-C-35组织(肚脑虫)的最新攻击活动分析
https://ti.360.net/blog/articles/latest-activity-of-apt-c-35/
[设备安全]  cisco-hostscan-bypass
https://gilks.github.io/post/cisco-hostscan-bypass/
[Web安全]  渗透测试工具备忘录
https://xz.aliyun.com/t/2482
[数据挖掘]  一文读懂复杂网络(应用、模型和研究历史)
https://mp.weixin.qq.com/s/M21P3uC__yg7iVVIxsDEVw
[设备安全]   Hack 虚拟内存系列(二):Python 字节对象
https://xz.aliyun.com/t/2495
[恶意分析]  多个疑似“摩诃草”团伙来源定向攻击的关联分析
https://ti.360.net/blog/articles/analysis-of-targeted-attacks-suspected-of-patchover/
[恶意分析]  蓝宝菇(APT-C-12)最新攻击样本及C&C机制分析
https://ti.360.net/blog/articles/latest-sample-and-c2-mechanism-of-apt-c-12/
[漏洞分析]  从几道CTF题看SOAP安全问题
https://www.anquanke.com/post/id/153065
[Web安全]  从Chrome源码看JavaScript的执行(上)
https://xz.aliyun.com/t/2480
[恶意分析]  某连锁医疗机构SQL Server服务器遭黑客入侵事件分析
https://weibo.com/ttarticle/p/show?id=2309404264914922394994#_0
[Web安全]  SQL注入的优化和绕过
https://bbs.ichunqiu.com/thread-43169-1-1.html?from=sec
[运维安全]  Window应急响应(一):FTP暴力破解
https://mp.weixin.qq.com/s/ZUJ87wWbzccw_zSRADfCVg
[比赛]  GeekPwn数据追踪挑战赛
https://dt.geekpwn.org/
[移动安全]  Android逆向工具:非通常方法
https://xz.aliyun.com/t/2481
[运维安全]  Open source tools for AWS security: defensive, offensive, auditing, DFIR
https://github.com/toniblyx/my-arsenal-of-aws-security-tools
[运维安全]  安全资产管理中容易被忽视的几点
https://mp.weixin.qq.com/s/klsIz9bOMIIsMjCqQixxKw
[取证分析]  北京某手游公司官网配置不当被黑溯源
https://weibo.com/ttarticle/p/show?id=2309404265677614648992#_0
[运维安全]  安全防护系统构设计与实践
https://mp.weixin.qq.com/s/jV59TEoH9lO6tEnT59rycA
[漏洞分析]  区块链安全技术总结
http://www.freebuf.com/vuls/178587.html
[取证分析]  Links for the OSINT Team
https://github.com/IVMachiavelli/OSINT_Team_Links
[取证分析]  以百度贴吧为典型的社交网络隐私主动泄露分析
http://www.freebuf.com/articles/neopoints/178013.html
[运维安全]  基于Golang打造开源的WAF网关
http://www.freebuf.com/articles/web/178308.html
[Web安全]  灰盒自动化漏洞挖掘实践
https://mp.weixin.qq.com/s/zwcpmM9rKDDaT8luoVK7xA
[数据挖掘]  解析深度学习在NLP中的发展和应用
https://mp.weixin.qq.com/s/IA0kPncWRVx0JBQXvJLY6w
[杂志]  SecWiki周刊(第229期)
https://www.sec-wiki.com/weekly/229
[漏洞分析]  首个区块链 token 的自动化薅羊毛攻击分析
https://paper.seebug.org/646/
[恶意分析]  卡巴斯基:2018 Q2 DDoS攻击报告
https://mp.weixin.qq.com/s/F-S0bVHxNzanNt35PQhcAw
[观点]  读书笔记:事件响应和IOC
https://mp.weixin.qq.com/s/QwrZCPhhrikhqJOS84HkIw
[漏洞分析]  Microsoft Office Vulnerabilities Used to Distribute FELIXROOT Backdoor in Recent
https://www.fireeye.com/blog/threat-research/2018/07/microsoft-office-vulnerabilities-used-to-distribute-felixroot-backdoor.html
[数据挖掘]  如何迅速成长成为一名数据分析师
https://www.zhihu.com/question/22750704
[运维安全]  GDPR的合规与实践
https://mp.weixin.qq.com/s/Io1A2dlj8FT57sWSHTNvGQ
[Web安全]  从Chrome源码看JavaScript的执行(下)
https://xz.aliyun.com/t/2488
[其它]  Dynamic Binary Instrumentation Primer
http://deniable.org/reversing/binary-instrumentation
[编程技术]  用户认证模块安全设计
https://xz.aliyun.com/t/2464
[Web安全]  安全开发之 token 那些事
https://mp.weixin.qq.com/s/iOn0SvVlF1Qj_4Jo9nknDw
-----微信ID:SecWiki-----
SecWiki,12年来一直专注安全技术资讯分析!
SecWiki:https://www.sec-wiki.com

本期原文地址: SecWiki周刊(第230期)