[ APT ]  深入了解伊朗网络间谍：APT33 瞄准航空航天和能源部门： https://www.fireeye.com/blog/threat-research/2017/09/apt33-insights-into-iranian-cyber-espionage.html

[ Browser ]  Safari 发布技术预览版 40： https://webkit.org/blog/7922/release-notes-for-safari-technology-preview-40/

[ Browser ]   什么触发了 Chrome 浏览器的 HTTPS 警告？来自 Google 的研究员将在 ACM 会议上分享《Where the Wild Warnings Are: Root Causes of Chrome HTTPS Certificate Errors》：  https://threatpost.com/whats-triggers-https-chrome-browser-warnings/128043/ 

[ Browser ]   Project Zero 今天公开了多个 Edge 的漏洞（CVE-2017-8729/CVE-2017-8740/CVE-2017-11764/CVE-2017-8755）： https://bugs.chromium.org/p/project-zero/issues/detail?id=1308  https://bugs.chromium.org/p/project-zero/issues/detail?id=1310  https://bugs.chromium.org/p/project-zero/issues/detail?id=1326  https://bugs.chromium.org/p/project-zero/issues/detail?id=1327

[ Browser ]   Project Zero 今天也公开了多个苹果 AppleBCMWLANCore 驱动的漏洞： https://bugs.chromium.org/p/project-zero/issues/list?can=1&q=label%3AProduct-AppleBCMWLANCore&colspec=ID+Type+Status+Priority+Milestone+Owner+Summary&cells=ids

[ Bug Bounty ]   Chris Evans 昨天宣布去了 Dropbox，今天 Dropbox 就更新了它的 Bug Bounty 计划： https://blogs.dropbox.com/tech/2017/09/updates-on-the-dropbox-bug-bounty-program/

[ Conference ]   2017 年 12 月份将要举办的 BlackHat EU（欧洲）会议开始陆续公开议题和日程了：  https://www.blackhat.com/eu-17/briefings/schedule/index.html 

[ Industry News ]  PassGAN 工具利用深度学习提高密码猜测成功率： https://threatpost.com/deep-learning-passgan-tool-improve-password-guessing/128039/

[ MalwareAnalysis ]   以色列的研究员写了一款 PoC 恶意软件名叫 aIR-Jumper，aIR-Jumper 可以通过摄像头的红外功能从物理隔离网络中渗透数据： https://www.bleepingcomputer.com/news/security/malware-uses-security-cameras-with-infrared-capabilities-to-steal-data/  https://arxiv.org/ftp/arxiv/papers/1709/1709.05742.pdf

[ Others ]    为什么 2014 年的 HeartBleed 时没有发现 Apache 的 Optionsbleed 漏洞？（注：Optionsbleed 为 HTTP OPTIONS 方法可以泄露 Apache Server 的内存的漏洞）：  https://blog.fuzzing-project.org/61-How-Optionsbleed-wasnt-found-in-2014.html 

[ Others ]  SSH的蜜罐： https://t.co/3HKJmWBD3E CC @ robputt796

[ Pentest ]  针对 NFS 的渗透测试： https://pentestacademy.wordpress.com/2017/09/20/nfs/

[ Popular Software ]   关于 CCleaner 被植入后门事件，Talos 昨天又发了一篇分析文章。他们得到了后门所回连 C&C 服务器的一份备份。在分析过程中，发现了一个攻击者攻击目标的域名列表，因此猜测这些厂商已经中招。其中包括索尼、三星、HTC、MSI、爱普生、思科等公司。卡巴斯基从代码中发现其与 Axiom APT 的样本有关联： http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html

[ Popular Software ]   Joomla! <= 3.7.5 LDAP 注入漏洞详情（CVE-2017-14596）： https://blog.ripstech.com/2017/joomla-takeover-in-20-seconds-with-ldap-injection-cve-2017-14596/

[ SecurityProduct ]    Cisco ASA 防火墙安全研究报告 Part 1，来自 NCC Group：  https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2017/september/cisco-asa-series-part-one-intro-to-the-cisco-asa/ 

[ ThreatIntelligence ]    网络威胁防御中的情报分析策略： https://medium.com/@thegrugq/counterintelligence-for-cyber-defence-97d33503064d

[ Tools ]  retire.js - 一款用于检测 JavaScript 库是否存在已知漏洞的工具： https://github.com/RetireJS/retire.js

[ Tools ]  Spaghetti - Web 应用安全扫描器： https://github.com/m4ll0k/Spaghetti

[ Tools ]    Skimmer Scanner - A Gas Pump Skimmer Detection App： https://github.com/sparkfunX/Skimmer_Scanner/

[ Tools ]   racer - 一键式应用，可用于测试条件竞争： https://github.com/sakurity/racer

[ Windows ]  滥用 DLL 延迟加载实现远程代码注入： http://hatriot.github.io/blog/2017/09/19/abusing-delay-load-dll/

[ Windows ]    RET2 SYSTEM Blog 对 PE 文件 /SUBSYSTEM:POSIX 编译选项的介绍： https://blog.ret2.io/2017/09/20/subsystem-posix/