每日安全资讯（2019.09.29）

1. AuthCov：Web认证覆盖扫描工具
   AuthCov使用Chrome headless browser（无头浏览器）爬取你的Web应用程序，同时以预定义用户身份进行登录。在爬取阶段它会拦截并记录API请求及加载的页面，并在下一阶段，以不同的用户帐户“intruder”登录，尝试访问发现的各个API请求或页面。它为每个定义的intruder用户重复此步骤。
   https://www.freebuf.com/sectool/212788.html

2. 利用虚假简历进行攻击，疑似MuddyWater再次活跃
   MuddyWater是2017年9月曝光的一个APT组织，自该组织曝光以来，活跃程度不减反增，扩大了攻击范围，攻陷了众多组织机构，深信服安全团队一直在关注其活动历程。起初，其受害者主要分布在中东地区；到2018年，他们感兴趣的领域开始转变，巴基斯坦、约旦、土耳其等地区开始遭受大量的鱼叉式网络钓鱼攻击，攻击目标集中在政府、军事、教育、电信等组织机构，攻击手段逐步升级。
   https://www.freebuf.com/articles/system/214428.html

3. 再谈安全运营
   自从一年前写过《我理解的安全运营》之后，这一年来，安全运营这个词有一种火了的感觉。有些乙方开始举办“安全运营”专场，大家坐一起探讨到底安全运营是个什么东西，以及有点什么“运营技巧”。甚至有一些乙方提供了“运营平台”、“运营服务”。
   https://www.anquanke.com/post/id/187732

4. IPv6发展带来的反欺诈难题
   IP是互联网最基础的身份标识，也是黑灰产业发展不可或缺的底层资源支撑。如果说IPv4是一颗星球，那IPv6就是一整个宇宙，它的地址空间接近无限。本文将揭露目前黑灰产对IPv6资源的利用情况，并剖析在IPv4向IPv6升级的过程中，业务场景下的安全将面临的挑战。
   https://www.anquanke.com/post/id/187725

5. 万万没想到，我还是没辜负客户的期待
   本以为凭借着我这满世经纬之才，心中宏阔安全架构雄图，小小的应急响应对我这老司机来说毫无压力。
   https://www.secpulse.com/archives/113500.html

（信息来源于网络，溪边的墓志铭搜集整理）