每日安全资讯（2019.02.13）

1. 开发者企业证书被滥用：App Store上涉黄涉赌App泛滥
   一项调查发现，十几个赤裸直白的色情应用与十几个现金赌博应用滥用开发者企业证书项目得以逃过苹果的监管。
   https://www.secrss.com/articles/8310

2. 身份管理的15个安全开发实践
   身份管理中我们常会谈及所谓“武器化身份”的概念，也就是强化系统中的接入点和用户与服务交互的位置。然而，武器化过程需分层实施，而其中一层就是代码层。开发身份平台时可以采用如下几种最佳安全编码实践。
   https://www.secrss.com/articles/8304

3. 谷歌迈出了“干掉”URL的第一步
   正值Chrome浏览器发布十周年之际，谷歌Chrome安全团队成员提出了一项激进的提议：从根本上重新思考互联网URL的显示方式。
   https://www.secrss.com/articles/8306

4. 全流程信息收集方法总结
   信息收集是指通过各种方式获取所需要的信息，以便我们在后续的渗透过程更好的进行。最简单的比如说目标站点的IP、中间件、脚本语言、端口、邮箱等等。我觉得信息收集在我们渗透测试的过程当中，是最重要的一环，这一环节没做好，没收集到足够多的可利用的信息，我们很难进行下一步的操作。
   https://www.freebuf.com/articles/database/195169.html

5. 邮件钓鱼攻击与溯源
   近日朋友收到一封来自海外的钓鱼邮件委托我帮忙分析。因此我对钓鱼者身份和攻击路径进行了一次详细的溯源。大致摸清了攻击者组织身份、攻击手法以及动机。本次溯源工作主要是通过提取攻击者控制的肉鸡服务器、网站访问日志、攻击者后门特征等。关联分析这些日志和特征最终得到攻击者的身份信息。本文以流水账的方式详细记录整个溯源过程，包括分析手法和思路，以供安全研究人员参考。
   https://www.freebuf.com/vuls/195090.html

（信息来源于网络，溪边的墓志铭搜集整理）