专注Web及移动安全[红日安全17期]

渗透测试，web安全动态
2017/8/21-2017/9/6

-安全文章
-安全漏洞
-移动安全
-代码审计

安全动态 安全技能 资源与工具分享

安全动态

[Security_week] 物联网等保测评必读-《信息安全技术 网络安全等级保护测评要求 第4部分：物联网安全扩展要求》解读 https://mp.weixin.qq.com/s/udrWsJw2qarC7GrGq7mZIg

[Security_week] 安全小课堂第六十九期【企业安全基础框架】https://www.secpulse.com/archives/59965.html

[Security_week] IEEE Spectrum 2017 编程语言排行：Python 夺冠 https://mp.weixin.qq.com/s/jJQOAkHYFl1nVKlsJ6wgcw

[Security_week] 2017黑帽大会兵工厂工具列表 https://mp.weixin.qq.com/s/ygh2JE69FRRdLJEOXYTcUg

[Security_week] 客人换衣被直播，黑客表示：“太LOW~”https://mp.weixin.qq.com/s/7gWXpecKeSS1fi1aZVVTaQ

[Security_week] CVE–2017–8543 Windows Search远程代码执行漏洞预警(含演示) https://mp.weixin.qq.com/s/g6rHcZz2_0bU-0vPlyJB-g

[Security_week] 代码未写，漏洞已出—架构和设计的安全 http://djt.qq.com/article/view/1555

[Security_week] 富裕国家和发展中国家之间的编程语言差异有多大？http://t.cn/RNb9Dfx

[Security_week] Rust SGX SDK v0.2.0 发布 | 31GB内存支持来了 http://t.cn/RKk2ic5

安全技能

[Security_technology] Windows环境下的信息收集 https://mp.weixin.qq.com/s/37xtTdjVetMg5P1WaJvYvA

[Security_technology] 内网渗透主机发现的技巧 https://mp.weixin.qq.com/s/fg8f7ydniZiQZ87niDTwqA

[Security_technology] 浏览器漏洞挖掘思路 https://zhuanlan.zhihu.com/p/28719766

[Security_technology] 记一次渗透英格科技 http://foreversong.cn/archives/336

[Security_technology] web测试方法工具篇 https://mp.weixin.qq.com/s/iBlBbPjVne_MON6RU2O1yg

[Security_technology] CVE-2012-1889 个人漏洞分析报告 https://mp.weixin.qq.com/s/Gxn9qUEXnrMYq5-F-wCH6A

[Security_technology] VMware Horizon的macOS客户端代码注入漏洞分析 https://mp.weixin.qq.com/s/eH6rpiLLUuMlOe2yOWQBgw

[Security_technology] 路由器固件安全分析技术（二） https://www.vulbox.com/knowledge/detail/?id=42

[Security_technology] Cure53 对 Briar 项目应用与协议的渗透测试报告 https://briarproject.org/raw/BRP-01-report.pdf

[Security_technology] 利用 Paypal 服务器的任意文件上传漏洞远程执行代码 http://blog.pentestbegins.com/2017/07/21/hacking-into-paypal-server-remote-code-execution-2017/

[Security_technology] 能能实战：android逆向，当apk反编译失败时 http://t.cn/RNsyavP

[Security_technology] 能能实战：安卓逆向学习破解签名验证（不修改so） http://t.cn/RNsvxYp

[Security_technology] 能能实战，二次安卓逆向http://t.cn/RNFuDDC

[Security_technology] 基于Python&Facepp打造智能监控系统 https://mp.weixin.qq.com/s/pahSPl_7tAC1f4xA2vyfYg

[Security_technology] 一句话开启HTTP服务 http://t.cn/R93OaKy

[Security_technology] NESSUS的高级扫描方法 http://www.freebuf.com/column/144167.html

[Security_technology] 恶意样本分析手册-虚拟机检测篇（下）http://blog.nsfocus.net/malicious-sample-analysis-manual-virtual-machine-test-bottom/

[Security_technology] WebSocket应用安全问题分析 https://security.tencent.com/index.php/blog/msg/119

[Security_technology] 攻击PowerShell 的代码注入漏洞，绕过它的语言约束模式

[Security_technology] 无 PowerShell.exe 执行 Empire 的几种姿势 https://mp.weixin.qq.com/s/FBXEiJbGRUxsYu1lBcw7_A

工具与资源

[Security_tools] 免费的在线计算机科学课程http://www.openculture.com/computer_science_free_courses

[Security_tools] htcap：一款实用的递归型Web漏洞扫描工具 https://mp.weixin.qq.com/s/izihU3bTnPRP2jz9F2cNBg

[Security_tools] hydra - 密码暴力破解工具 https://github.com/vanhauser-thc/thc-hydra

[Security_tools] WordPress 漏洞扫描工具 wpscan 2.9.3发布https://github.com/wpscanteam/wpscan/releases/tag/2.9.3

[Security_tools] angularjs-csti-scanner - 用于自动化检测 AngularJS 客户端模板注入攻击的工具https://github.com/tijme/angularjs-csti-scanner

[Security_tools] 域渗透神器Empire安装和简单使用 https://mp.weixin.qq.com/s/VqrUTW9z-yi3LqNNy-lE-Q

[Security_tools] Linux本地root提权exp CVE-2017-1000112https://github.com/xairy/kernel-exploits/blob/master/CVE-2017-1000112/poc.c

[Security_tools] 用C语言编写哈希表https://github.com/jamesroutley/write-a-hash-table/tree/v0.1.0

[Security_tools] 破解随机数生成器（xoroshiro128 +） https://lemire.me/blog/2017/08/22/cracking-random-number-generators-xoroshiro128/

[Security_tools] 用Clojure提取Chrome Cookieshttps://blog.laurentcharignon.com/post/extracting-chrome-cookie-clojure/

[Security_tools] Python的隐藏特性(StackOverflow)http://pyzh.readthedocs.io/en/latest/python-hidden-features.html

[Security_tools] Whatruns：识别任何网站上使用的技术的免费FireFox插件https://www.whatruns.com

[Security_tools] Python编写的简单的微信客户端 https://github.com/justdoit0823/pywxclient

[Security_tools] 滥用爬虫进行间接的 Web 攻击（Paper）http://t.cn/RNGUa38

[Security_tools] 全球所有程序员通用的计算机知识拓扑https://github.com/universe-proton/universe-topology

[Security_tools] 漏洞自动化验证之XSS篇 https://mp.weixin.qq.com/s/MHmdmDi8vS0zLu4ktTOV6A

[Security_tools] 自动化测试原理http://www.lihaoyi.com/post/PrinciplesofAutomatedTesting.html

[Security_tools] st2-052远程命令执行漏洞POC+复现测试 http://www.chengyin.org/forum.php?mod=viewthread&tid=2648&fromuid=1