每日安全资讯（2019.07.30）

1. 漏洞就在那里，在那显眼之处
   众所周知，漏洞众测并不是一个容易入行并取得成就的领域，顶尖的白帽黑客不仅有沉浸多年的挖洞经验，而且还精通安全技术。现实中，为了鼓励人们发现漏洞，厂商的众测项目目标一般都具备较强的安全措施。很多时候对于我们大多数新手来说，由于测试目标的安全加固非常到位，所以，在参与众测过程中我们经常会遇到瓶颈，即使再怎么努力也无所发现，陷入窘境，如何来破？
   https://www.freebuf.com/vuls/208915.html

2. 浅谈跨域威胁与安全
   WEB前端中最常见的两种安全风险，XSS与CSRF，XSS，即跨站脚本攻击、CSRF即跨站请求伪造,两者属于跨域安全攻击，对于常见的XSS以及CSRF在此不多谈论，仅谈论一些不太常见的跨域技术以及安全威胁。
   https://www.freebuf.com/articles/web/208672.html

3. 渗透前的目标信息收集小结
   信息收集分类:
   1、主动式信息搜集（可获取到的信息较多，但易被目标发现）
   2、通过直接发起与被测目标网络之间的互动来获取相关信息，如通过Nmap扫描目标系统。
   3、被动式信息搜集（搜集到的信息较少，但不易被发现，如通过搜索引擎搜索）
   4、通过第三方服务来获取目标网络相关信息。如通过搜索引擎方式来搜集信息。
   https://www.secz.org/websafe/2983.html

4. 逻辑让我崩溃之验证码姿势分享
   本次分享的是自己关于自己遇到的一些关于图形验证码的案例，可能涉及图形验证码、短信验证码等，还是没有将问题探究到多深入，希望文中的思路能有所用。
   https://www.secz.org/websafe/2976.html

5. 常规36个WEB渗透测试漏洞描述及修复方法
   Apache样例文件泄漏、弱口令、明文传输登录口令、暴力破解、任意文件上传
   https://www.secz.org/pentest/2977.html

（信息来源于网络，溪边的墓志铭搜集整理）