各位FreeBufer周末好~以下是本周的「FreeBuf周报」，我们总结推荐了本周的热点资讯、优质文章和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1、Gartner 发布2022年新兴技术和趋势影响力雷达图中五项具有影响力的技术
2、使用量增长了 46%，更加注重隐私的搜索引擎DuckDuckGo发展迅速
3、专家详述 macOS 漏洞 ：可让恶意软件绕过安全门卫
4、Apache HTTP Server 2.4.52 发布，修复关键漏洞
5、在线密码管理器LastPass被大规模撞库
6、阿尔巴尼亚总理就数据泄露致歉
7、威联通NAS设备在圣诞期间遭到了勒索攻击
8、物流巨头DW Morgan暴露了100 GB 客户数据
9、地铁安防门被曝存在多个严重的安全漏洞
10、T-Mobile称：用户数据泄露由SIM卡交换攻击引起

优质文章

1、Web渗透测试中我们该收集什么信息？

本章主要介绍的是渗透测试前期准备工作-信息收集，将从IP资源，域名发现，服务器信息收集，网站关键信息识别，社会工程学几个方面谈谈如何最大化收集信息。【原文链接】

2、中央网信办发布《“十四五”国家信息化规划》：多项规划惠及安全行业

2021年12月27日，中央网络安全和信息化委员会印发《“十四五”国家信息化规划》（以下简称《规划》）。

《规划》依据《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》《国家信息化发展战略纲要》等制定，是“十四五”国家规划体系的重要组成部分，对我国“十四五”时期信息化发展作出部署安排，是指导“十四五”期间各地区、各部门信息化工作的行动指南。【原文链接】

3、从了解洞态IAST到加入开源社区

IAST 相当于 DAST 和 SAST 的组合，是一种相互关联的运行时安全检测技术。 它通过使用部署在 Web 应用程序上的 Agent 来监控运行时发送的流量并分析流量流以实时识别安全漏洞，IAST 提供更高的测试准确性,并详细的标注漏洞在应用程序代码中的确切位置，从而帮助开发人员达到实时修复。【原文链接】

4、重磅 | 《 2021中国白帽子调查报告》正式发布

“白帽子”是一群维护互联网秩序的安保人员。他们掌握高超的专业技能，致力于迅速识别安全漏洞并及时修复。工作中面对日益智能化、繁杂化、和多样化的网络攻击环境，他们不断接受挑战、提升能力并解决问题，帮助企业抵御愈发严峻的安全风险，为企业的正常运作保驾护航，是企业持续发展的大后方。然而在工作之余国内安全从业人员的整体素质又是怎样的呢？他们擅长哪些领域，又有哪些不足？如何激发他们的工作动力和效率？他们有哪些进步的空间和可能？【原文链接】

5、DevSecOps建设之白盒续篇

本篇为今年初发表的《DevSecOps建设之白盒篇》的续篇，在上一篇中，侧重讲了代码安全检测的自动化流程建设，对于白盒引擎技术的实现方面只是提了一下，还没有很详细的讲解，没有形成很完整的知识体系，所以有了本篇续文。

在文章的开头，我想先以一个使用者的角度来说说我对一款代码安全分析引擎的诉求：第一点，它的规则编写要简单易上手，且维护方便；第二点，它的CI/CD流程嵌入要友好；第三点、要支持人工辅助审计;第四点，它的数据分析价值要大；第五点、分析要准确；第六点、方便团队快速协作开发。【原文链接】

省心工具

1、Abaddon：专为红队研究人员设计的增强工具

红队研究活动中往往会涉及到各种技术技能的实现，不仅研究时间有可能会持续好几个月，而且还会涉及到大量敏感操作。因此，红队研究活动也需要进行大量的监控，并要求谨慎操作。Wavestone研发的Abaddon工具旨在帮助红队研究人员提升运营效率，并通过更高的速度和更隐蔽的方式执行某些重复操作，同时还提供了很多辅助增强工具和报告功能。【原文链接】

2、Stacs：一款功能强大的静态令牌和凭证扫描安全工具

Stacs一款功能强大的静态令牌和凭证扫描工具，本质上来说，Stacs是一个基于YARA的静态凭证扫描工具，该工具支持二进制文件格式、嵌套文档分析、可组合规则集和忽略列表以及SARIF报告。

当前版本的Stacs支持tarballs、gzip、bzips、zips、7z、iso、rpm和xz文件的递归解包。由于Stacs处理的是它所检测到的文件类型，而不是文件名，因此该工具将自动支持基于这些类型的适当文件格式，例如Docker镜像、Android APK和Java JAR文件。【原文链接】

3、UDP-Hunter：针对各种UDP服务的网络安全评估工具

UDP-Hunter是一款功能强大的UDP服务安全评估工具，该工具可以覆盖IPv4和IPv6协议。

UDP扫描一直是一项缓慢而痛苦的工作，如果你打算在UDP的基础上添加IPv6支持，那么可选的工具就会非常有限。UDP-Hunter是一个基于Python的开源网络评估工具，主要用于UDP服务的安全扫描。简而言之，UDP-Hunter专注于为IPv6和IPv4主机提供常见的UDP协议安全审计服务。【原文链接】

4、如何使用whoc将底层容器运行时环境提取至远程服务器

whoc是一个功能强大的容器镜像，它可以帮助广大研究人员将底层容器运行时环境提取并发送至远程服务器。在该工具的帮助下，我们可以轻松查看自己感兴趣的CSP容器平台的底层容器运行时环境！【原文链接】

5、Fhex：一款功能强大的全平台十六进制编辑器

Fhex是一款功能强大的十六进制编辑器，该工具同时支持在Linux、Windows和macOS系统上使用。考虑到社区中现有的十六进制编辑工具或多或少都存在着不同的使用限制，比如说依赖组件过多或缺乏十六进制颜色方案等，而该项目的主要目的旨在给广大研究人员提供一款轻量级但包含大量功能的实用工具。

该项目基于qhexedit2、capstone和keystone引擎开发，并且仍处于积极开发中，之后还会在新版本中添加更多的功能。【原文链接】