上周安全资讯推荐：
[快讯]雅虎45万用户数据泄露
“D33Ds公司今天（7月12日）曝光了45万雅虎用户数据。黑客称利用union-based SQL注入漏洞获得了XXX.yahoo.com的用户数据。其中包括453492条用户数据记录，超过2700个数据库表和列名，298个MySQL参数。”
http://www.freebuf.com/news/4972.html

上周技术文章推荐：
Scapy，IPTables，Brupsuite在ARP毒化攻击中的实用性技巧
“ARP毒化攻击是一种比较老的攻击技术，是中间人攻击的一种途径。传统的攻击方法重点在于信息的收集(密码，Cookie，CSRF令牌等等任何信息)。”
http://www.freebuf.com/articles/4922.html

Velocity Parse()函数引发的本地包含漏洞及利用方法
“Velocity是一个基于java的模板引擎（template engine），它允许任何人仅仅简单的使用模板语言（template language）来引用由java代码定义的对象。我们知道，越是功能强大、函数丰富的渲染层语言（从某种意义上来说，PHP也可归类为渲染层语言）越会带来一些安全问题。”
http://www.freebuf.com/articles/4904.html

[原创]PoisonIvy Rat 远程溢出实战
http://www.freebuf.com/articles/4921.html

IIS短文件/文件夹漏洞(汇总整理)
http://www.freebuf.com/articles/4908.html

上周安全漏洞推荐：
最新python提权:python-wrapper及python 不可信的搜索路径/代码执行漏洞
“exploit-db.com近日爆了一个奇特的漏洞。只要诱使root在当前目录，通过python或者python-wrapper执行一下help(‘modules’)命令，后台就以root权限执行该目录下test.py脚本。”
http://www.freebuf.com/vuls/4969.html

上周安全工具推荐：
IIS短文件漏洞安全扫描工具
http://www.freebuf.com/tools/4959.html

上周周边信息推荐：
[视频]第一期知道创宇Web安全论坛Kcon视频花絮
http://www.freebuf.com/others/4920.html