安全资讯

1.多达1.8万中国Android应用会窃取短信

安全公司Palo Alto Networks发表博客称，超过1.8万的中国Android应用会窃取用户的短信

2.因签发假的证书Google惩罚赛门铁克

赛门铁克旗下的Thawte CA在Google不知情下为Google域名颁发了有效期一天的预签证书

3.1300万000Webhost用户明文密码曝光

提供免费Web托管服务的000Webhost被黑客在5个月前利用旧版PHP的漏洞入侵系统，窃取了1300多万用户的明文密码、电子邮件和登录IP地址

4.利用HSTS和CSP嗅探浏览器历史

HTTPS Everywhere和Let’s Encrypt项目的开发者Yan Zhu在上周末举行的 ToorCon 2015大会上介绍了一种滥用HSTS（HTTP Strict Transport Security）和内容安全策略（CSP）嗅探浏览器历史的时序攻击方法

5.犯罪组织如何打败安全的Chip-and-PIN技术

中国从2014年1月、美国从2015年10月开始用更安全的Chip-and-PIN信用卡取代旧的磁条信用卡

6.Joomla曝出SQL注入漏洞影响百万网站

开源内容管理系统Joomla释出了补丁修正了安全研究人员发现的一个SQL注入漏洞

7.TalkTalk遭到攻击用户信息泄露

英国互联网和电话供应商TalkTalk遭到攻击，用户的信用卡等敏感信息可能已经泄露

8.GitHub和Bitbucket遭到DDoS攻击

源代码托管服务商GitHub和Bitbucket同一时间遭到DDoS攻击

技术干货

---

1.移动APP安全测试要点

来自绿盟科技

2.让你的Python代码更加pythonic

何为pythonic？听他娓娓道来~

3.基于攻击链的威胁感知系统

很不错的思路分享

4.Javascript缓存投毒学习与实战

JS缓存投毒学习，小伙伴们操练起来

5.WMI 的攻击，防御与取证分析技术之攻击篇

来自乌云的一篇译文

6.那些年我们一起脱过的衣裳－脱壳

脱壳教学系列文章

7.有米iOS恶意SDK分析

最近有米SDK被苹果下架，让我们来分析分析它究竟做了什么？

 

工具与资料

---

1.Virtualenv 教程

PDF下载

2.机器学习和数据挖掘的推荐书单

揭开机器学习和数据挖掘这一神秘的面纱吧

3.BlueLotus_XSSReceiver:XSS数据接收平台 

想要搭建XSS接收平台的小伙伴们有福了

4.Joomla CMS 3.2-3.4.4 SQL注入 漏洞分析

攻击者通过该漏洞可以直接获取获取数据库中敏感信息，甚至可以获取已登陆的管理员会话直接进入网站后台

5.猜密码，精准的分析个人密码

社工实用工具

6.Docker在渗透中的应用

科普文章

7.CTF赛事通告

华山杯网络安全技能大赛