SecWiki周刊（第369期） - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

漏洞

SecWiki周刊（第369期）

SecWiki 2021-03-30 14:56:35 20606

本期关键字：网络犯罪案件、资产发现、钓鱼基建自动化、审计学习、隐藏 C&C 流量、编码绕过、红蓝对抗总结、协议识别、设备安全态势、模型可解释性、供应链攻击、Java反序列化、qemu逃逸、蓝队溯源、数据库攻击实战指北等。2021/03/22-2021/03/28

安全技术

[Web安全] Kscan：轻量级的资产发现工具
https://github.com/lcvvvv/kscan

[Web安全] 剑指钓鱼基建自动化的想法
https://mp.weixin.qq.com/s/5ofJ6J1KVQIvVB3dZdIVng

[Web安全] HFish初版审计学习
https://www.sec-in.com/article/949

[设备安全] 硬核黑客笔记 - 怒吼吧电磁波 (上)
https://mp.weixin.qq.com/s/SUjjKY_TIj10rpQW9tkH9A

[其它] 使用 AWS Lambda 隐藏 C&C 流量
https://mp.weixin.qq.com/s/F6QcVgSyXz3wwJlRDd8TVQ

[编程技术] 我是如何低成本建立RapidDNS.io网站的
https://mp.weixin.qq.com/s/IwpflmaxVar3Vk5AqBmdAA

[工具] 利用字符集编码绕过waf的burp插件
https://github.com/GuoKerS/Charset_encoding-Burp

[杂志] SecWiki周刊（第368期)
https://www.sec-wiki.com/weekly/368

[Web安全] 一次金融行业的红蓝对抗总结
https://www.sec-in.com/article/969

[运维安全] 浅谈风控的架构
https://mp.weixin.qq.com/s/GAeau8TJEWZtrv5CHlSHNQ

[其它] 中国网络安全行业全景图（2021年3月第八版）
https://mp.weixin.qq.com/s/Z3rIpxl9ZOVuZzTABAojvg

[数据挖掘] 网络空间测绘核心技术之：协议识别（DCERPC篇）
https://mp.weixin.qq.com/s/jsOyxiDBnvi4PiqdgA3dvw

[Web安全] Driftingblues3靶机渗透
https://www.sec-in.com/article/967

[Web安全] H2C Smuggling in the Wild
https://blog.assetnote.io/2021/03/18/h2c-smuggling/

[文档] 一些网络空间搜索引擎相关的资料
https://github.com/EXHades/CyberSpaceSearchEngine-Research

[恶意分析] 一些webshell免杀的技巧
https://xz.aliyun.com/t/9290

[恶意分析] 浅析软件供应链攻击之包抢注低成本钓鱼
https://mp.weixin.qq.com/s/JWSjKZWyuSvXdzYhU0INmQ

[取证分析] 蓝队溯源与反制
https://xz.aliyun.com/t/9316

[Web安全] MSSQL 数据库攻击实战指北—防守方攻略
https://mp.weixin.qq.com/s/uENvpPan7aVd7MbSoAT9Dg

[Web安全] Hidden OAuth attack vectors
https://portswigger.net/research/hidden-oauth-attack-vectors

[Web安全] 记一次跌宕起伏的白盒审计到RCE
https://xz.aliyun.com/t/9319

[取证分析] 实践之后，我们来谈谈如何做好威胁建模
https://mp.weixin.qq.com/s/kNfTBoeFu90QPvYbPcR_OQ

[数据挖掘] 模型可解释性在保险理赔反欺诈中的实践
https://mp.weixin.qq.com/s/7Qa4PZCXARqEK-iphVPTjA

[文档] 2020年联网智能设备安全态势报告
https://mp.weixin.qq.com/s/GdSgHNTLjysqow4ka8tY7w

[恶意分析] RemRAT潜伏在中东多年的Android间谍软件
https://mp.weixin.qq.com/s/RhM2qUxDWTyykCbSW6e8SQ

[文档] 国内网络安全信息与事件管理类产品研究与测试报告（2021年）
http://www.caict.ac.cn/kxyj/qwfb/ztbg/202103/P020210324512102846900.pdf

[漏洞分析] A Year in the Life of a Compiler Fuzzing Campaign
https://blog.trailofbits.com/2021/03/23/a-year-in-the-life-of-a-compiler-fuzzing-campaign/

[漏洞分析] Java反序列化漏洞浅析
https://www.anquanke.com/post/id/235511

[漏洞分析] qemu逃逸学习
https://www.anquanke.com/post/id/235191

[漏洞分析] TinyInst动态插桩工具原理分析
https://www.anquanke.com/post/id/234925

-----微信ID：SecWiki-----
SecWiki，9年来一直专注安全技术资讯分析！
SecWiki：https://www.sec-wiki.com

本期原文地址: SecWiki周刊(第369期)

# web安全 # 系统安全 # 数据安全 # 网络安全技术

本文为 SecWiki 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

网络安全周报

展开更多

相关推荐

fofa常用语法+新功能-网络空间测绘

工具

前言：FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分...

pony686

1932701围观 · 16收藏 · 113喜欢 2021-04-01

通过大量垃圾字符绕过WAF上传文件

Web安全

文件上传漏洞对Web应用来说是一种非常严重的漏洞。

liangxiaofei

228995围观 · 12喜欢 2021-03-31

VMware vRealize Operations Manager SSRF漏洞（CVE-2021-21975）复现

漏洞

漏洞描述vRealize Operations Manager API包含服务器端请求伪造。可以通过网络访问vRealize Operati...

一笼管汤包

531586围观 2021-03-31

手把手入门WEB信息收集

Web安全

在实战中，前期的信息收集的完整性，很大一部分决定了在对网站进行的测试的成功几率，能够收集的越多，对我们的帮助也是极其重要的。

195019围观 · 5收藏 · 19喜欢 2021-03-31

Drupal 远程代码执行漏洞(CVE-2018-7600)复现

漏洞

Drupal是使用PHP语言编写的开源内容管理框架（CMF），它由由内容管理系统和PHP开发框架共同构成，在GPL2.0及更新协议下发布。...

925644围观 · 2收藏 · 13喜欢 2021-03-31

SecWiki LV.3

公众号：SecWiki，www.sec-wiki.com

163 文章数
66 关注者

SecWiki周刊（第371期）

2021-04-12

SecWiki周刊（第370期）

2021-04-05

SecWiki周刊（第368期）

2021-03-22