安全资讯

---

1.全球最大的比特币交易平台Bitstamp被攻击损失约500万美元 

全球最大和最可靠的比特币交易平台之一Bitstamp在周一宣布它们已经成为了黑客攻击的目标

2.黑客扫描GitHub窃取AWS Key租赁云服务器挖比特币

不要将你的亚马逊AWS API key公开在GitHub上，有黑客正利用机器人程序24小时扫描GitHub窃取AWS key

3.Lizard Squad向Brian Krebs开战

通过DDoS攻击瘫痪索尼的PSN和微软的Xbox Live服务，Lizard Squad破坏了许多人的圣诞节

4.Google公开未修复的Windows 8.1安全漏洞

Google安全研究数据库在发现90天后自动披露了微软未修复的一个Windows 8.1安全漏洞

5.机锋论坛用户数据泄露

多家国内媒体报道，国内最大的机锋Android论坛用户数据泄露

6.温州公安局采购手机木马

一则政府公开招标公告，显示开发区公安分局花了14.9万元采购了武汉虹信公司的“手机木马”和“打码器

7.FBI如何跟踪索尼黑客到朝鲜

FBI局长在一个安全会议上称，由于攻击者的疏忽，美国调查人员能跟踪索尼影业黑客攻击事件到朝鲜情报机构

8.德国新型银行木马Emotet被发现

微软安全研究人员发现，在德国泛滥的垃圾邮件风潮中正在传播一个强大的银行木马新变种

9.盗版开发者的春天？黑客已经泄露Xbox One SDK 

微软Xbox在线平台的软件开发工具箱（SDK）可能在网络上被自由地传播

 

干货分享

---

 1.安全漏洞本质扯谈之扯谈安全漏洞本质

翰海源CTO—_alert7_ 大神谈漏洞本质

2.我是如何发现一枚Cisco XSS漏洞的

漏洞本身并不复杂，在此与大家分享漏洞发现的整个过程

3.owasp dc 2015 facebook大牛的演讲

需翻墙

4.CDN内部结构 

图文并茂带你了解CDN内部结构

5.从贝叶斯方法谈到贝叶斯网络

从贝叶斯方法讲起，重点阐述贝叶斯网络

6.APT恶意软件分析系列之从WORD中提取EXE的分析技术

教大家如何分析word和pdf中的恶意程序

7.深入了解Google与微软的争议漏洞

深入了解NtApphelpCacheControl漏洞

8.HTML5游戏重打包变身安卓恶意软件 

我们可以预见越来越多的HTML5应用可能被攻击者利用，由普通Web应用重新打包为恶意移动软件

 9.利用CSP探测网站登陆状态

内容安全策略（Content Security Policy，简称CSP）是一种以可信白名单作机制

10.发掘和利用ntpd漏洞 

CVE-2014-9295 ntpd漏洞的发掘与利用

11.针对超强手机木马DenDroid的分析与测试 

号称需要300美元的手机远控木马分析与测试

 12.三星KNOX远程静默安装漏洞深入分析报告

利用该漏洞，远程攻击者可以精心构造一个恶意网页，欺骗用户更新手机系统,当用户更新系统后,用户手机上会被安装任意的恶意应用

资料与工具

---

1.bypass姿势汇总

防火墙绕过技巧总结，IPS、IDS绕过技术

2.对神器mimikatz的逆向分析

mimikatz是由法国一个牛人写的轻量级调试器，可以帮助安全测试人员抓取Windows密码

3.蓝牙设备安全测试工具 – BlueMaho 

BlueMaho是测试蓝牙设备安全性的工具套件，开源免费，由python编写

4.WiFi安全测试工具、蹭网利器 – WiFiPhisher 

各位有兴趣的话可到GitHub上下载，完全免费

5.FreeBuf 2014年漏洞分析文章精选 

这个必须妥妥的收藏

6.黑客题材电影、电视剧大合集

“史上最全”的黑客题材电影和电视剧

7.FreeBuf 2014十大安全工具

果断下载收藏

8.31C3 CTF web关writeup

英文的题解可以看这里:https://github.com/ctfs/write-ups/tree/master/31c3-ctf-2014/web

9.利用NDK NativeActivity技术实现Android加固

近日，百度安全实验室发现了一款被不同病毒家族利用的新型代码加固方式

10.Metasploit系列教程(第一季) 

由T00LS出品的，羽翼来操刀的Metasploit系列课程

11.Kali-Linux系列教程

不错的Kali教程

书籍推荐

---

 

《社会工程 安全体系中的人性漏洞》，专业解密社会工程，全面防护系统安全。