[ Browser ]  v8 团队 Blog 介绍了多个他们用于测试 JavaScript 性能的工具套件： http://v8project.blogspot.com/2017/11/web-tooling-benchmark.html https://v8.github.io/web-tooling-benchmark/

[ Browser ]   《From Out of Memory to Remote Code Execution》，来自古河在 PacSec 2017 会议的演讲。其中介绍了浏览器（主要是 Edge ChakraCore 引擎）中内存耗尽（OOM）相关漏洞的挖掘和利用，包括如何利用可控、不中断(Continuable)的 OOM 漏洞触发新的分支路径触发漏洞，以及如何利用这种 OOM 漏洞实现 RCE。最后还介绍了一个利用 Fast Array Buffer 实现 64 位地址空间 Heap Spray 的技巧： https://speakerdeck.com/yukichen/from-out-of-memory-to-remote-code-execution

[ Browser ]  Type Confusion In Chrome Lead to RCE（CVE-2017-5070），来自 360 Zhao Qixun(@S0rryMybad)： https://bugs.chromium.org/p/chromium/issues/detail?id=722756

[ Challenges ]  Ethereum CTF 比赛的 Writeup： https://blog.trailofbits.com/2017/11/06/hands-on-the-ethernaut-ctf/

[ Data Breach ]  目前已经爆出的云端存储私有数据泄露问题只是冰山一角： https://threatpost.com/data-pours-from-cloud-and-the-enemy-is-us/128747/

[ Industry News ]  记一次网络诈骗追踪过程： http://www.freebuf.com/articles/others-articles/153079.html

[ Industry News ]  现在漏洞发现者都希望给漏洞命名。这篇 Blog 作者介绍了 6 个之前没有名字的内核漏洞，影响 Android 和一些路由器设备，作者表示："Please Stop Naming Vulnerabilities"（CVE-2017-11013/CVE-2017-9714/CVE-2017-11014/CVE-2017-11015/）： https://pleasestopnamingvulnerabilities.com/

[ Industry News ]  Kotlin/Native 开始支持 iOS 了，实现了 Android/iOS 的跨平台： https://blog.kotlin-academy.com/multiplatform-native-development-in-kotlin-now-with-ios-a8546f436eec https://blog.kotliner.cn/2017/04/15/Kotlin%20Native%20%E8%AF%A6%E7%BB%86%E4%BD%93%E9%AA%8C%EF%BC%8C%E4%BD%A0%E6%83%B3%E8%A6%81%E7%9A%84%E9%83%BD%E5%9C%A8%E8%BF%99%E5%84%BF/

[ Industry News ]  Cisco 修复了其IOE XE 软件 BGP over Ethernet VPN 实现中的拒绝服务漏洞： https://threatpost.com/cisco-patches-dos-flaw-in-bgp-over-ethernet-vpn-implementation/128780/

[ Linux ]  Linux内核Waitid系统调用本地提权漏洞（CVE-2017-5123）的分析与利用： http://www.freebuf.com/vuls/152412.html

[ Linux ]  Exploiting CVE-2017-5123 with full protections. SMEP, SMAP, and the Chrome Sandbox： https://salls.github.io/Linux-Kernel-CVE-2017-5123/

[ MalwareAnalysis ]  Mitigating and eliminating info-stealing Qakbot and Emotet in corporate networks： https://blogs.technet.microsoft.com/mmpc/2017/11/06/mitigating-and-eliminating-info-stealing-qakbot-and-emotet-in-corporate-networks/

[ MalwareAnalysis ]  域名关联模型：让恶意软件自我暴露： https://zhuanlan.zhihu.com/p/30780842

[ Mobile ]  RIBs - Uber 的跨平台移动架构： https://github.com/uber/RIBs

[ Pentest ]  Windows 上的渗透测试 Cheat Sheet： https://techincidents.com/penetration-testing-cheat-sheet/

[ Pentest ]  使用 PowerShell Module Manifests 绕过 CVE-2017–0218 的补丁(CVE-2017–8715) ： https://posts.specterops.io/a-look-at-cve-2017-8715-bypassing-cve-2017-0218-using-powershell-module-manifests-1f811aea858c

[ ReverseEngineering ]  任天堂 Switch 逆向工程： https://github.com/dekuNukem/Nintendo_Switch_Reverse_Engineering

[ SecurityAdvisory ]  Android 11 月安全公告： https://source.android.com/security/bulletin/2017-11-01

[ SecurityProduct ]  卡巴斯基实验室 2017 第三季度 DDoS 攻击报告： https://securelist.com/ddos-attacks-in-q3-2017/83041/

[ Tools ]  Python3编写的CMS漏洞检测工具（含300POC）： http://www.freebuf.com/sectool/149883.html

[ Tools ]  专门记录被恶意软件滥用的证书的网站： http://signedmalware.org/ http://www.ccssforum.org/malware-certificates.php

[ Vulnerability ]   Brother 打印机中存在拒绝服务漏洞： https://www.trustwave.com/Resources/SpiderLabs-Blog/Denial-of-Service-Vulnerability-in-Brother-Printers/

[ Vulnerability ]  The path pivot attack， CVE-2017-2619 的新利用方式： https://gdelugre.github.io/2017/11/06/samba-path-pivot-attack/

[ Web Security ]  node.js + postgres 从注入到Getshell： https://paper.seebug.org/438/

[ Windows ]  从汇编代码中看 Windows 64 位的 SEH（Structured Exception Handling）实现： https://www.codeproject.com/Articles/1212332/bit-Structured-Exception-Handling-SEH-in-ASM

[ Windows ]  EternalBlue工具漏洞利用细节分析： https://mp.weixin.qq.com/s/-G2BjW05xAcx16piGSZhAA

[ Windows ]  如何逆向 Windows 未文档化的内部数据结构： https://sww-it.ru/2017-11-06/1493