SecWiki周刊（第232期)

2018/08/06-2018/08/12

安全技术

[取证分析] EventCleaner: 日志擦除工具
https://github.com/360-A-Team/EventCleaner

[Web安全] 深入理解JNDI注入与Java反序列化漏洞利用
https://mp.weixin.qq.com/s/cyeEAv31GO_hZCTXVRBkxw

[运维安全] bk-cmdb: 蓝鲸智云配置平台(blueking cmdb)
https://github.com/Tencent/bk-cmdb

[Web安全] Bucket上传策略和URL签名的绕过与利用
https://xz.aliyun.com/t/2543

[无线安全] 如何利用 LTE／4G 伪基站＋GSM 中间人攻击攻破所有短信验证
https://www.cnblogs.com/k1two2/p/7387654.html

[Web安全] SSL/TLS协议详解(中)——证书颁发机构
https://xz.aliyun.com/t/2530

[Web安全] 深入研究preg_replace与代码执行
https://xz.aliyun.com/t/2557

[Web安全] [红日安全]代码审计Day7 - parse_str函数缺陷
https://xz.aliyun.com/t/2541

[Web安全] 代码审计Day6 - 正则使用不当导致的路径穿越问题
https://xz.aliyun.com/t/2523

[Web安全] 代码审计Day5 - escapeshellarg与escapeshellcmd使用不当
https://xz.aliyun.com/t/2501

[Web安全] 发现CVE-2018-11512-wityCMS 0.6.1 持久型XSS
https://bbs.ichunqiu.com/thread-43838-1-1.html?from=sec

[Web安全] BurpSuite Extender之巧用Marco和Extractor
https://xz.aliyun.com/t/2547

[Web安全] How I Chained 4 Bugs(Features?) into RCE on Amazon Collaboration System
http://blog.orange.tw/2018/08/how-i-chained-4-bugs-features-into-rce-on-amazon.html

[恶意分析] 恶意PDF文档分析以及payload提取方法
http://www.freebuf.com/articles/system/178920.html

[恶意分析] 银行木马Pegasus样本分析
https://xz.aliyun.com/t/2544

[恶意分析] The History of Fileless Malware – Looking Beyond the Buzzword
https://zeltser.com/fileless-malware-beyond-buzzword/

[Web安全] 检测并实现绕过DBMS_ASSERT
https://xz.aliyun.com/t/2555

[Web安全] SSL/TLS协议详解(下)——TLS握手协议
https://xz.aliyun.com/t/2531

[Web安全] 超100家交易所高危漏洞导致50亿价值数字资产受威胁
https://bbs.ichunqiu.com/thread-44034-1-1.html?from=sec

[编程技术] StarCabinet: 开源的跨平台Github Stars管理分析工具
https://github.com/thundernet8/StarCabinet

[编程技术] repo-security-scanner: git repo 安全审计工具
https://github.com/UKHomeOffice/repo-security-scanner

[Web安全] Ruby on Rails 路径穿越与任意文件读取漏洞分析 -【CVE-2018-3760】
https://xz.aliyun.com/t/2542

[杂志] SecWiki周刊（第231期)
https://www.sec-wiki.com/weekly/231

-----微信ID：SecWiki-----
SecWiki，12年来一直专注安全技术资讯分析！
SecWiki：https://www.sec-wiki.com