专注Web及移动安全[红日安全16期]

渗透测试，web安全动态
2017/7/9-2017/7/16

-安全文章
-安全漏洞
-移动安全
-代码审计

安全动态 安全技能 资源与工具分享

安全动态

[Security_week] 网络安全生态峰会开始报名啦！ https://mp.weixin.qq.com/s/9hLkNOLpTA1-v___RSdiog

[Security_week] 网信办发布《关键信息基础设施安全保护条例（征求意见稿）》全文 https://mp.weixin.qq.com/s/qnG4A9HkPQPWAZgae_LSqQ

[Security_week] 移动APP更要注重网络安全，也要及时开展等保工作 https://mp.weixin.qq.com/s/wt1jlPNTCV7JJUJ9RWj-zQ

[Security_week] 大国或已暗地打响网络战 有必要出台网络战规则！ https://mp.weixin.qq.com/s/K6SKWSOJ9_-tT7b5PI6F9A

[Security_week] MSRC-Security-Research - 微软 MSRC 团队近几年演讲资料的汇总 https://github.com/Microsoft/MSRC-Security-Research/tree/master/presentations

[Security_week] 再谈勒索软件的防御 https://mp.weixin.qq.com/s/IayXVSFQ2pVw-q7ODeHyHA

[Security_week] R 语言基础入门 https://www.shiyanlou.com/courses/855

[Security_week] Python Web 框架介绍 http://t.cn/RKHAMVX

[Security_week] 信息安全漏洞周报（2017年第27期） https://mp.weixin.qq.com/s/tg4KGajO89-bLL-ELfJhGA

[Security_week] 安全客 2017 季刊第二期 http://bobao.360.cn/download/book/security-geek-2017-q2.pdf

[Security_week] 安全预警：VMware虚拟机逃逸利用工具已在网上大规模流传，用户请尽快更新 http://www.tuicool.com/articles/jE7rei6

[Security_week] 架构师之路：一个架构师需要掌握的知识技能 http://weizhan.51cto.com/article/view/59142577f2dd874ef5571ed1

[Security_week] 开发安全的 API 所需要核对的清单 https://github.com/shieldfy/API-Security-Checklist/blob/master/README-zh.md

安全技能

[Security_technology] Apache Structs2 S2-048 漏洞动态分析 http://t.cn/RKLTBpb

[Security_technology] 谈谈关于PHP的代码安全相关的一些致命知识 https://mp.weixin.qq.com/s/wD_SzRUWVuh4mruaF0qs5g

[Security_technology] 美10余家电力企业遭模板注入攻击 https://mp.weixin.qq.com/s/fCg70lBTi-dWQN9zAL97yA

[Security_technology] [翻译]现代Web中的JSON劫持 http://bbs.pediy.com/thread-219036.htm

[Security_technology] [翻译]SQL注入新手教程（第二部分） http://bbs.pediy.com/thread-219115.htm

[Security_technology] 能能实战：Jenkins（cve-2017-1000353）反序列化命令执行漏洞验证 http://t.cn/RKTDNCh

[Security_technology] 干货丨从浅层模型到深度模型：概览机器学习优化算法 https://mp.weixin.qq.com/s/jnWH7KcVVmxh0Ywxi4GM9Q

[Security_technology] 利用 CreateRestrictedToken API Bypass AppLocker https://pentestlab.blog/2017/07/07/applocker-bypass-createrestrictedtoken/

[Security_technology] Cisco Talos 团队对利用 Word 模板注入攻击基础设施的分析 http://blog.talosintelligence.com/2017/07/template-injection.html

[Security_technology] Poppler PDF 存在多个 RCE 漏洞，成功利用可以完全控制用户计算机 http://t.cn/RKHv7K2

[Security_technology] Active Directory中获取域管理员权限的攻击方法 http://www.cnblogs.com/backlion/p/7159296.html?from=timeline&isappinstalled=0

[Security_technology] 常见端口转发工具的使用方式（二） https://mp.weixin.qq.com/s/vlPRk7jKJXO8ZyopNIfzrg

[Security_technology] 关于IP，这里有你想知道的一切！(中篇) https://mp.weixin.qq.com/s/ZjQ9VAatFmqwHNhTVd7yXA

[Security_technology] 分享下android下使用的渗透工具（介绍） https://mp.weixin.qq.com/s/HND4hYuqVbGS-PAwLPwaNA

[Security_technology] Linux安全——iptables（七） https://mp.weixin.qq.com/s/Fv0TP9Gff4tu4g3gtQDQ8g

[Security_technology] Struts2 S2-048高危漏洞复现！详解几个漏洞攻击载荷利用的对比分析 https://mp.weixin.qq.com/s/XLeRNPN_CcpVG7firXC47w

[Security_technology] 密码破解那些事 https://mp.weixin.qq.com/s/-K8tO58kUPMSVL2xge5vUA

[Security_technology] Windows平台运行Masscan和Nmap http://www.4hou.com/penetration/6173.html

[Security_technology] Splash SSRF到获取内网服务器ROOT权限 https://xianzhi.aliyun.com/forum/read/1872.html

[Security_technology] Splunk学习与实践(审计工具) https://mp.weixin.qq.com/s/O5Jt-DDpskimfz8kHunZ8Q

[Security_technology] Memcached -一个故事失败的修补和脆弱的服务器 http://blog.talosintelligence.com/2017/07/memcached-patch-failure.html#more

[Security_technology] 在使用Burp Scanner的Web应用程序脆弱性分析 http://www.hackingarticles.in/vulnerability-analysis-web-application-using-burp-scanner/

[Security_technology] Inject All the Things http://blog.deniable.org/blog/2017/07/16/inject-all-the-things/

工具与资源

[Security_tools] Android_Kernel_CVE_POCs CVE-2017-8260 CVE-2017-0705 CVE-2017-8259 http://t.cn/RKVrpqt

[Security_tools] CANAPE.Core - 跨平台的网络协议测试库 https://github.com/tyranid/CANAPE.Core

[Security_tools] salt-scanner - 基于 Salt Open 和 Vulners audit API 的 Linux 漏洞扫描器 https://github.com/0x4D31/salt-scanner

[Security_tools] 《深入理解Android热修复技术原理》https://m.aliyun.com/yunqi/articles/115122

[Security_tools] w8scan 一款模仿bugscan的扫描器 https://github.com/boy-hack/w8scan

[Security_tools] SlackShell - 基于 Slack API 的 PowerShell 版本 C&C 命令控制实现 https://github.com/bkup/SlackShell

[Security_tools] Winpayloads - 基于 Python2.7 编写的免杀 Windows Payload 生成器 https://github.com/nccgroup/Winpayloads

[Security_tools] objection - SensePost 公开的基于 Frida 的 iOS APP Runtime 探测工具，可以向 APP 中注入对象执行代码 https://sensepost.com/blog/2017/objection-mobile-runtime-exploration/

[Security_tools] 目录扫描工具 http://pentestit.com/cangibrina-domain-admin-dashboard-finder/

[Security_tools] T50-最快混合包注入器工具 https://www.darknet.org.uk/2017/07/t50-fastest-mixed-packet-injector-tool/

[Security_tools] Burp Vulners Scanner -漏洞扫描器 https://vulners.com/

[Security_tools] ReverseAPK - 快速逆向分析安卓应用的 Bash 脚本 https://github.com/1N3/ReverseAPK

[Security_tools] XSStrike - Fuzz XSS 漏洞的工具，可以自动发现并绕过常见 WAF https://github.com/UltimateHackers/XSStrike