SecWiki周刊(第239期)
2018/09/24-2018/09/30
安全资讯
[其它]  从青果直播用户隐私看摄像头安全问题,千万摄像头暴露公网
https://nosec.org/home/detail/1837.html
[新闻]   Facebook现安全漏洞造成5000万账户泄露,股价跌超3%
https://nosec.org/home/detail/1849.html
[新闻]  少年黑客入侵苹果下载1TB数据,被判处缓刑8个月
https://nosec.org/home/detail/1845.html
[新闻]  联合国WordPress网站泄露数千份简历
https://nosec.org/home/detail/1842.html
[新闻]  管中窥豹,从DVP数据看中心化交易所的安全现状
https://nosec.org/home/detail/1846.html
安全技术
[Web安全]  Web安全实战系列:SQL注入漏洞
https://mp.weixin.qq.com/s/m6bsWlJ3Yj1YMFZwz5uHIQ
[恶意分析]  轻松理解什么是 C&C 服务器
https://mp.weixin.qq.com/s/uiXmL36bsr5415mLJ-T04g
[漏洞分析]  Ethernaut学习智能合约系列(一)
http://foreversong.cn/archives/1295
[Web安全]  pwcracker: 一款插件化的密码爆破框架
https://github.com/c0ny1/pwcracker
[运维安全]  BeyondCorp:一种企业安全新方法-中英文对照版
https://mp.weixin.qq.com/s/DKTODvkmZqTVi1lfqtHdDw
[Web安全]  SeLoadDriverPrivilege 在提权中的应用
https://mp.weixin.qq.com/s/VSF7nNnh0x7ptdtyDWDYsA
[Web安全]  前端安全系列(一):如何防止XSS攻击?
https://segmentfault.com/a/1190000016551188
[漏洞分析]  ThinkPHP-漏洞分析集合
https://xz.aliyun.com/t/2812
[取证分析]  网络归因溯源之误区刍议(三)
https://mp.weixin.qq.com/s/u-o_G4qi3KW4_A4oYB3Z-w
[工具]  Red Team 工具集之攻击武器库
https://mp.weixin.qq.com/s/HNJRq_yTX_NLrXsvMXUrTA
[工具]  Red Team 工具集之远程控制软件
https://mp.weixin.qq.com/s/CQ642WcTLcdZgrYwwNWXjA
[Web安全]  图形验证码常见漏洞
https://mp.weixin.qq.com/s/5hUS9Mbc1NHi5MEZpGcGEA
[其它]  记一次对色情网站拥有人身份的挖掘
https://nosec.org/home/detail/1869.html
[运维安全]  浅谈针对rdp协议的四种测试方法
https://mp.weixin.qq.com/s/mCMBpx_jLmy6jDYqA67EjQ
[漏洞分析]  用不同姿势复现 CVE-2018-8174 漏洞
https://mp.weixin.qq.com/s/AGWCU7snrDQWy8UIKJURmQ
[无线安全]  Wifi 四次握手认证过程介绍
https://mp.weixin.qq.com/s/sFk15theGX4eotiu9bJUCg
[取证分析]  网络爬虫的法律规制
https://mp.weixin.qq.com/s/KzXuY0mmURiJi4NwU4CF4g
[Web安全]  墨者学院审计类通关指南
https://xz.aliyun.com/t/2821
[恶意分析]  大数据威胁建模方法论
https://www.cdxy.me/?p=797
[恶意分析]  deep-analysis-of-driver-based-mitm-malware-itranslator
https://www.fortinet.com/blog/threat-research/deep-analysis-of-driver-based-mitm-malware-itranslator.html
[Web安全]  RirchFaces反序列化漏洞
http://www.polaris-lab.com/index.php/archives/584/
[漏洞分析]  CVE-2018-0952: Privilege Escalation Vulnerability in Windows Standard Collector
https://www.atredis.com/blog/cve-2018-0952-privilege-escalation-vulnerability-in-windows-standard-collector-service
[无线安全]  如何攻击 LTE 4G 网络
https://mp.weixin.qq.com/s/nSO-9WvN_DJCuMJJigvUYQ
[工具]  Red Team 工具集之信息收集
https://mp.weixin.qq.com/s/ItDg3vq0alCt10Q7vae2hw
[取证分析]  信息安全的价值和落地
https://mp.weixin.qq.com/s/5lXWmbORcyjukJNz5CW1Qg
[Web安全]  php 后门隐藏技巧
https://mp.weixin.qq.com/s/wyH0Rr4IX3Vv552_tR3ImA
[工具]  从暴力枚举用户到获取域所有信息
https://mp.weixin.qq.com/s/ssCeYjorQzLFN6FNsYnRJw
[恶意分析]  VPNFilter III:恶意软件中的瑞士军刀
https://www.anquanke.com/post/id/160861
[Web安全]  隔壁小孩都要知道的Drupal配置
https://bbs.ichunqiu.com/thread-46127-1-1.html?from=sec
[恶意分析]  Torii botnet - Not another Mirai variant
https://blog.avast.com/new-torii-botnet-threat-research
[数据挖掘]  一个人的安全部之大话企业数据安全保护
http://www.freebuf.com/articles/database/185288.html
[取证分析]  网络归因溯源之误区刍议(一)
https://mp.weixin.qq.com/s/F-6EbrLSFj5QVsjMb4r5cA
[漏洞分析]  禅道pms-路由及漏洞分析
https://www.anquanke.com/post/id/160473
[恶意分析]  awesome-honeypots: an awesome list of honeypot resources
https://github.com/paralax/awesome-honeypots
[Web安全]  奇淫异巧之 PHP 后门
https://mp.weixin.qq.com/s/RPMzhspueI91PfJbUQgclg
[Web安全]  Java SQL 注入学习笔记
https://b1ngz.github.io/java-sql-injection-note/
[恶意分析]  AI与安全的恩怨情仇五部曲「1」Misuse AI
http://www.polaris-lab.com/index.php/archives/585/
[Web安全]  服务器针对文件的解析漏洞汇总
https://mp.weixin.qq.com/s/f0y_AjRtc4NjEqeJe6cPhw
[Web安全]  Pin-in-CTF 学习整理记录
https://mp.weixin.qq.com/s/ch-WYgkpg5iDcppOPzCpRQ
[Web安全]  PowerShell 降级攻击的检测与防御
https://mp.weixin.qq.com/s/kCDnnr-LIiGLyk3nMHeNXw
[取证分析]  OSINT tool for visualizing relationships between domains, IPs and email
https://hackernoon.com/osint-tool-for-visualizing-relationships-between-domains-ips-and-email-addresses-94377aa1f20a
[文档]  apache_struts_CVE-2018-11776-part2
https://lgtm.com/blog/apache_struts_CVE-2018-11776-part2
[取证分析]  网络归因溯源之误区刍议(二)
https://mp.weixin.qq.com/s/NncuUaKdhiD2gbUMCTZ9Cg
[移动安全]  移动互联网信息传输安全现状分析
https://mp.weixin.qq.com/s/CdeePQh1j9SKtnKEKVqycA
[其它]  企业安全建设做什么
https://mp.weixin.qq.com/s/3BxkqgMj9gpVe79YB30wtg
[恶意分析]  APT-RAT(Poison ivy ) 攻击模拟及监测口令提取
https://mp.weixin.qq.com/s/zxz1hSXbrBeRjcw0sK_ajw
[Web安全]  轻松理解 X-XSS-Protection
https://mp.weixin.qq.com/s/qVM2haPcLdSBE_xLaXI65g
[Web安全]  轻松理解什么是 SQL 注入
https://mp.weixin.qq.com/s/H7fs_lKgvZM6s_ywjUk1_w
[比赛]  Linux 闯关游戏之通关秘籍
https://mp.weixin.qq.com/s/7N--mAlG2o4ixfpHyUAc_A
[Web安全]  ourphp 前台注册登入前台某用戶
https://mp.weixin.qq.com/s/NEE_N1ytAn-U5wiVQFx-Vg
[Web安全]  Twenty years of Escaping the Java Sandbox
http://phrack.org/papers/escaping_the_java_sandbox.html
[Web安全]  从CVE-2018-1273学漏洞分析
https://www.secpulse.com/archives/75930.html
[恶意分析]  锁首技术总结
https://mp.weixin.qq.com/s/6NUh3GK8jNPnqg6AokF-fQ
[Web安全]  pwnable.kr详细通关秘籍(二)
https://bbs.ichunqiu.com/thread-46250-1-1.html?from=sec
[恶意分析]  Fantastic Malware and Where to Find Them
http://www.megabeets.net/fantastic-malware-and-where-to-find-them/
[漏洞分析]  我如何发现雅虎邮箱APP的存储型XSS漏洞
http://www.freebuf.com/articles/terminal/184041.html
[无线安全]  RFID 破解基础详解
https://mp.weixin.qq.com/s/gKUmJ8tCGVAaPMh0oGs7mw
[无线安全]  RFID 低频卡安全分析
https://mp.weixin.qq.com/s/-d8u1ysQUk9zpWghlPXJpA
[取证分析]  基于设备指纹的风控建模以及机器学习的尝试
https://www.secpulse.com/archives/75876.html
[比赛]  Linux 闯关游戏之通关秘籍续
https://mp.weixin.qq.com/s/MnmXvDkaRQVCxFRUYHukmg
[恶意分析]  APT 攻击链及事件响应策略
https://mp.weixin.qq.com/s/m0B0SECqiTyqbIAlmygX1w
[漏洞分析]  通过滥用 CSS 解析来窃取本地文件内容
https://xz.aliyun.com/t/2808
[移动安全]  Android进程保护研究分析报告
http://www.freebuf.com/articles/paper/185466.html
[工具]  Mimikatz 攻防杂谈
https://mp.weixin.qq.com/s/BrQo_UnyStgAn-XyUBsamQ
[Web安全]  PHP 代码审计之死磕 SQL 注入
https://mp.weixin.qq.com/s/I8432k8nl55vfY5NTrfsow
[恶意分析]  恶意软件检测之Deep Learning分类器
http://www.4hou.com/technology/13788.html
[移动安全]  Android 进程注入危害与测试
https://mp.weixin.qq.com/s/YSf3RuFzi3JTvBYT22md_g
[恶意分析]  macOS 恶意软件分析过程
https://mp.weixin.qq.com/s/OV5M397iYPF8Ij4vMuGyAg
[恶意分析]  记一次小型 APT 恶意攻击
https://mp.weixin.qq.com/s/Yr4jbqIRQi9DjgF-dO5vpg
[漏洞分析]  Discovering GraphQL endpoints and SQLi vulnerabilities
https://medium.com/@localh0t/discovering-graphql-endpoints-and-sqli-vulnerabilities-5d39f26cea2e
[恶意分析]  模拟挖矿黑客攻击过程
https://mp.weixin.qq.com/s/-HwW599xSlKuY3ZcqgnAhQ
[无线安全]  打造属于自己的 Wi-Fi “DOS” 攻击工具——Wi-Fi_deauther
https://mp.weixin.qq.com/s/62p41D_-TCFCCFBBjAe4yA
[杂志]  SecWiki周刊(第238期)
https://www.sec-wiki.com/weekly/238
[工具]  Red Team 工具集之辅助工具
https://mp.weixin.qq.com/s/u1hYphFv-1c-gN-6uNazFw
[Web安全]  MetInfo 最新版代码审计漏洞合集
https://mp.weixin.qq.com/s/kmrIJnTdZtaQyQRTvL-6dQ
[Web安全]  php 不用字母,数字和下划线写 shell
https://mp.weixin.qq.com/s/fCxs4hAVpa-sF4tdT_W8-w
[Web安全]  我是如何找到 Google Colaboratory 中的一个 xss 漏洞的
https://mp.weixin.qq.com/s/1Y7KrcIc8iwRwXQuhHob8Q
[Web安全]  前端题目怎么就成了一个 sql 注入的题
https://mp.weixin.qq.com/s/m3nqBY7ijj8LNJGKT8eyyQ
-----微信ID:SecWiki-----
SecWiki,12年来一直专注安全技术资讯分析!
SecWiki:https://www.sec-wiki.com

本期原文地址: SecWiki周刊(第239期)