每日安全资讯（2020.01.19）

1. 《发展网络安全能力》中文完整版发布
   历时半年多，利用业余时间，一点点啃完了整份报告的正文部分。关于后边引用的资料和附件部分没有翻译，意义不是很大。本研究报告推荐阅读人群：CEO、CIO、CISO、合规安全研究员。
   https://www.freebuf.com/articles/paper/225637.html

2. 渗透测试工程师视角下的渗透测试流程
   众所周知，Web应用的渗透测试可分3个阶段：信息搜集、漏洞发现、漏洞利用，但是在给甲方做渗透时就需细化流程。
   https://www.freebuf.com/articles/network/224495.html

3. 2019年汽车网络安全事件数量翻番，自2016年增加605%
   Upstream Security发布了2020年《汽车网络安全报告》，深入统计相关数据，这些数据是针对过去十年中367起公开报道的汽车网络安全事件分析，重点是2019年发现的漏洞及分析。
   https://www.freebuf.com/articles/terminal/224936.html

4. XXE从入门到放弃
   XXE全称XML External Entity Injection，也就是XML外部实体注入攻击，是对非安全的外部实体数据进行处理时引发的安全问题。要想搞懂XXE，肯定要先了解XML语法规则和外部实体的定义及调用形式。
   https://www.anquanke.com/post/id/197423

5. SSRF漏洞利用与getshell实战
   SSRF（Server-Side Request Forgery，服务器端请求伪造）是一种由攻击者构造请求，利用服务器端发起的安全漏洞。一般情况下，SSRF攻击的目标是外网无法访问的内部系统（正因为请求是由服务器端发起的，所以服务器能请求到与自身相连而外网隔离的内部系统）。
   https://www.anquanke.com/post/id/197431

（信息来源于网络，溪边的墓志铭搜集整理）