SecWiki周刊（第284期)

SecWiki周刊（第284期）

2019/08/05-2019/08/11

安全资讯

[恶意分析] 俄罗斯政府黑客利用物联网入侵网络
https://www.solidot.org/story?sid=61621

[恶意分析] Electron 应用容易修改植入后门
https://www.solidot.org/story?sid=61658

[法规] 信息安全技术移动互联网应用（App）收集个人信息基本规范（草案）
http://www.cac.gov.cn/2019-08/08/c_1124853418.htm

安全技术

[会议] 2019TechWorld技术嘉年华PPT
https://mp.weixin.qq.com/s/pHYpHw1PuLddW2NJZZzA6A

[比赛] 2019全国大学生信息安全竞赛-作品赛决赛作品获奖名单
http://www.ciscn.cn/upload/file/20190805/1565012814495201.pdf

[Web安全] HTTP Security Headers - A Complete Guide
https://nullsweep.com/http-security-headers-a-complete-guide/

[比赛] De1CTF 2019-WriteUp
https://mp.weixin.qq.com/s/EN8cch8uO8Qnfb_eewbw9w

[比赛] De1CTF 2019-WriteUp-PWN
https://mp.weixin.qq.com/s/rCqposktwlWdYjVfY4K1lA

[设备安全] 物联网固件漏洞挖掘——经典命令执行漏洞分析复现
https://mp.weixin.qq.com/s/KPw81stOcBthxZHlanS0BA

[工具] AggressorScript-CreateCloneHiddenAccount
https://github.com/Ch1ngg/AggressorScript-CreateCloneHiddenAccount

[Web安全] Berserker-针对Pentest或者CTF的一个fuzz payload项目
https://github.com/zer0yu/Berserker

[取证分析] HFish: 一款企业安全主动攻击型蜜罐钓鱼框架系统
https://gitee.com/lauix/HFish

[漏洞分析] Django JSONField/HStoreField SQL 注入漏洞（CVE-2019-14234）的复现与分析
https://nosec.org/home/detail/2831.html

[Web安全] OneForAll 一款功能强大的子域收集工具
https://github.com/shmilylty/OneForAll

[其它] 安全聚合平台
https://sec.thief.one/

[Web安全] ATT&CK之后门持久化（一）
https://mp.weixin.qq.com/s/SavldFETaFea3l7kVX2RyA

[设备安全] Automating Firmware Security with FwAnalyzer
https://medium.com/cruise/firmware-security-fwanalyzer-dcbd95cef717

[Web安全] HTTPS劫持研究
https://www.freebuf.com/articles/network/210027.html

[漏洞分析] Escaping the Chrome Sandbox via an IndexedDB Race Condition
https://labs.bluefrostsecurity.de/blog/2019/08/08/escaping-the-chrome-sandbox-via-an-indexeddb-race-condition/

[其它] Nmap中一些常用的NSE脚本
https://nosec.org/home/detail/2844.html

[Web安全] ATT&CK之后门持久化（二）
https://mp.weixin.qq.com/s/Vh1ZyAIQjGY1WSomN7HWgQ

[Web安全] 实例讲解二阶SQL注入
https://www.4hou.com/info/news/19267.html

[Web安全] FOFA网络空间站——北京站演讲嘉宾PPT
https://nosec.org/home/detail/2846.html

[漏洞分析] Case study: Searching for a vulnerability pattern in the Linux kernel
https://a13xp0p0v.github.io/2019/08/10/cfu.html

[漏洞分析] Attacking SSL VPN - Part 2: Breaking the Fortigate SSL VPN
http://blog.orange.tw/2019/08/attacking-ssl-vpn-part-2-breaking-the-fortigate-ssl-vpn.html

[设备安全] 分析Belkin SURF路由器中的多个漏洞
https://www.anquanke.com/post/id/183326

[恶意分析] APT29之来去影无踪—特殊的CnC渠道
https://mp.weixin.qq.com/s/d9AYfW9r8RjCZxxs9jjheA

[Web安全] CobaltStrike插件开发官方指南 Part2
https://xz.aliyun.com/t/5892

[漏洞分析] 微信逆向分析相关研究技术文章收集
https://anhkgg.com/wechat-pc-study-technical-article-sets/

[设备安全] SURF路由器安全漏洞研究
https://xz.aliyun.com/t/5884

[漏洞分析] Fuzz闭源的PDF阅读器
https://www.anquanke.com/post/id/183330

[漏洞分析] NLP技术也能帮助程序分析
https://mp.weixin.qq.com/s/b4_OdxgxsK8CCU5b8qCEfw

[设备安全] 一个工控漏洞引发的思考（续）
https://www.freebuf.com/vuls/208779.html

[恶意分析] 一些Fiberhome路由器正在被利用为SSH隧道代理节点
https://blog.netlab.360.com/some-fiberhome-routers-are-being-utilized-as-ssh-tunneling-proxy-nodes/

[恶意分析] rdp-tunnel: Pre-compiled tools to tunnel TCP over RDP Connections
https://github.com/NotMedic/rdp-tunnel

[Web安全] CobaltStrike插件开发官方指南 Part1
https://xz.aliyun.com/t/5887

[漏洞分析] Capital One银行数据泄漏事件分析
https://nosec.org/home/detail/2835.html

[取证分析] 海莲花攻击手法概述
https://mp.weixin.qq.com/s/IrM60hbB6dWdbWxpFbO1lA

[恶意分析] 对APT34泄露工具的分析——Jason
https://www.4hou.com/technology/19488.html

[编程技术] 一次美丽的误会引发对函数调用保护的思考
https://mp.weixin.qq.com/s/wna8pBu1s_jNI8kDeBGEwA

[杂志] SecWiki周刊（第283期)
https://www.sec-wiki.com/weekly/283

[其它] 利用无人机通过激光与物理隔离设备建立隐蔽信道
https://mp.weixin.qq.com/s/6_cEwkqFX-oeuLk6thZUcQ

-----微信ID：SecWiki-----
SecWiki，12年来一直专注安全技术资讯分析！
SecWiki：https://www.sec-wiki.com

本期原文地址: SecWiki周刊(第284期)

SecWiki周刊（第284期）

最新公告

友情链接

SecWiki公众号

安全学术圈