FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

各位读者周末好，以下是本周「FreeBuf知识大陆一周优质资源推荐」，我们精选了本周知识大陆公开发布的10条优质资源，让我们一起看看吧。

笔记一：

本文档包含多个与XSS攻击相关的报告，这些报告涵盖了各种不同的攻击方式和漏洞。这些攻击方式利用了存储在某些网站和应用上的XSS漏洞，从而对用户信息进行泄露、账户抢夺等攻击。

笔记二：

外网打点包括靶标确认、信息收集、漏洞探测、漏洞利用和权限获取，其中信息收集最为重要。FOFA在外网打点过程中使用的技巧包括:暴力破解密码、修改IP地址、伪造IP伪造域名等。

笔记三：

本文档主要介绍了教育SRC日刷百分Ps的两种方法:挖通用和定点打击学校。推荐使用定点打击学校提高得分，具体步骤包括信息收集、渗透测试等。在测试过程中发现了一些漏洞，并利用这些漏洞进一步攻击其他系统。

笔记四：

本文档主要介绍了NXP公司网络安全系统的架构，包括公共部分、自动驾驶领域、网络基础设施和车辆计算机等部分。其中，自动驾驶领域包括多种安全威胁和攻击类型，如用户设备、卫星导航和电动汽车充电等。

笔记五：

本文档细记录了某款安全产品的固件提取与解密过程。在设备中通过http服务进行连接，可以使用不同的命令进行操作，如root shel和等待网络加载完毕后的反弹shell。

笔记六：

本文档是关于欧洲议会和理事会通过的一项关于金融领域数字运营韧性方面的立法，旨在加强金融领域的数字运营韧性，降低因网络安全问题引发的操作风险和财务风险。

笔记七：

本文档主要探讨了数据安全在云原生时代面临的挑战与机遇。作者从合规趋势及挑战、数据安全实践、核心技术等方面进行了详细阐述。

笔记八：

本文档介绍了一种短信轰炸漏洞案例，通过点击申请加盟填写任意信息，将手机号发送给目标邮箱地址，给手机号发送验证码。攻击者重复发布，测试可以收到四处验证码。

笔记九：

本手册分析了数据勒索表现形式、感染风险及数据勒索攻击流程，聚焦事前风险防范、事中快速响应、事后整改加固三个阶段，提出数据勒索防护措施，帮助企业防范化解数据勒索软件攻击风险。

笔记十：

SpringBlade框架的JWT认证缺陷漏洞CVE-2021-44910使得攻击者可以通过篡改JWT的签名来绕过认证，获取未经授权的访问权限。开发者需要修复相关代码以防止该漏洞的利用。

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022