2020-07-08 11:30:08 128852 0

2020年07月03日， 360CERT监测发现 F5 发布了 F5 BIG-IP 远程代码执行 的风险通告，该漏洞编号为 CVE-2020-5902，漏洞等级：严重。

2020-07-06 15:30:25 109953 1

JAVA的XML解析，底层用的是xerces，而xml本身的特性及xerces的一些特性，可以用来造成WAF与后台代码的解析不一致。

2020-07-07 09:45:15 65833 1

信息安全（infosec）社区今天对放弃使用“BlackHat”和“WhiteHat”这两个术语的呼吁做出了愤怒的反应，理由是这两者，尤其是“BlackHat”与种族歧视无关。

2020-07-06 09:30:07 75631 0

.NET Core中的漏洞可以绕过杀软；CVE-2020-5902：F5 BIG-IP 远程代码执行漏洞EXP公开；Facebook App价值1500刀的漏洞。

2020-07-07 10:00:05 134414 3

Plaid ctf 2020 的一道 chromium sandbox escape 题目，比较基础，适合入门， 题目文件可以在这里 下载, exp 参考来自这里。

2020-07-16 15:00:49 91718 0

James Forshaw发现的DiagHub DLL loading技术已经非常有名了。每当你在Windows或一些第三方软件中发现SYSTEM权限的任意文件写漏洞时，你就可以用这一招来造成任意代码执行，而且不用重启。

2020-07-04 11:04:47 88137 0

健身公司V Shred 606 GB客户数据泄露；Linux安全的十年；CVE-2020-7284: McAfee NSM 未授权访问。

2020-07-09 11:00:51 94912 0

爱沙尼亚电子身份证（ID卡）被认为是世界上基于智能卡的国家身份证系统最成功的部署之一。

2020-07-06 16:29:12 125195 8

web题很新颖，基本上都是nodejs写成，且除几个题外都给了源码，收获满满。

2020-07-06 11:00:40 87102 0

在本文中，我们将分析“Connected User Experiences and Telemetry Service”（互联用户体验和遥测服务），也就是diagtrack服务。本文涉及到与NTFS相关的一些术语，因此大家需要对相关背景有所了解。

2020-07-07 10:30:17 118612 0

SQL注入（SQLi）攻击对Web应用程序的安全性构成了重大威胁。现有方法不支持面向对象的编程，这使这些方法无法保护诸如Wordpress，Joomla或Drupal之类的Web应用程序免受SQLi攻击。

2020-07-03 17:45:15 284312 0

2020年07月03日， 360CERT监测发现 F5 发布了 F5 BIG-IP 远程代码执行 的风险通告，该漏洞编号为 CVE-2020-5902，漏洞等级：严重。

2020-07-06 14:30:09 170401 1

无论是个人隐私数据，还是企业数据，都承载着巨大的价值，数据泄露事件已成为安全领域最大的威胁之一。安全产品的价值和其保护资产的价值永远成正比关系。

2020-07-09 16:00:14 47983 2

先前的蓝牙扫描工具都是零零散散，而且年久失修对吗？于是我们有了这个基于现代 Python 3 开发的强大蓝牙扫描器 —— bluescan。

2020-07-07 14:30:30 128490 2

这篇文章首先分析三个cpython历史漏洞，在我们简单熟悉了cpython的源码结构以后，再来编写一个fuzzer，其实算是添加fuzzer。

2020-07-06 10:00:45 88354 1

这是永安在线黑灰产研究报告的系列文章中的一篇，本文介绍了短信拦截手机黑卡近期的增长趋势与其背后的深层次原因，并分享了永安在线在判别短信拦截手机黑卡背后控制者的经验与方法。

2020-07-24 13:00:47 351415 5

分析SGX的工作模型，设法将Release版本的Enclave转换成Debug版本，再借助SGX开发套件中的sgx-gdb工具，可实现对SGX Enclave的动态调试，之后便可为所欲为。

2020-07-03 10:15:50 92745 0

2020年07月03日， 360CERT监测发现 Apache Guacamole官方 发布了 Guacamole网关远程代码执行 的风险通告，该漏洞编号为 CVE-2020-9497/CVE-2020-9498，漏洞等级：中危。

2020-07-03 09:45:49 65538 0

Facebook向数千名应用程序开发者公开了用户数据；勒索软件要求巴西电力公司Light S.a.支付1400万美元赎金；47%的在线MongoDB数据库被黑客入侵索要赎金。

2020-07-06 10:30:03 80263 0

Voatz是美国联邦选举中使用的第一个互联网投票应用程序，在2018年的中期选举中，西弗吉尼亚州成为美国第一个允许选民通过名为“ Voatz”的专有应用程序在手机上进行投票的州。

2020-07-03 11:00:05 201914 1

在研究过程中，我们发现Apache Guacamole存在多个严重的反向RDP漏洞，并且也受我们在FreeRDP中找到的一些新漏洞的影响。

2020-07-07 15:30:13 112874 0

在DisplayLink USB显卡软件7.9.296.0版本中，我们发现了一个本地特权提升漏洞，该漏洞是由于对日志文件夹的访问权限过大，导致可以滥用DisplayLink USB显卡软件执行特权文件操作，例如创建任意文件。

2020-07-02 16:00:16 211995 9

WMIHACKER是一款用于远程主机连接工具，通过135端口进行命令执行，执行结果读取以及无需445端口进行文件传输。

2020-07-02 16:53:25 95080 1

某开发人员公开发帖指责直接公布厂商漏洞行为；石黑一雄诺奖后的第一本书还没出版就被黑客盯上，想先一睹为快？

2020-07-02 11:00:14 193864 0

这8个题目是关于分组密码学的，难度中等，包括针对CBC模式的典型攻击，针对RNG的cloning攻击等等。

2020-07-02 09:45:34 67667 0

游走在东欧和中亚的奇幻熊；59款中国APP印度遭禁后续：TikTok主动下架；美联邦通信委员会周二正式将华为和中兴通讯指定为国家安全威胁。

2020-07-03 10:30:31 176337 0

本文通过七个流行的UPI应用程序对该协议的设计进行了逆向，从而对UPI协议进行了详细的安全性分析。

2020-07-02 10:30:03 103074 0

2019年9月初我们应急了Nexus Repository Manager 2.x 命令注入漏洞(CVE-2019-5475)，在应急完这个漏洞之后，我们分析该漏洞的修复补丁，发现修复不完全，仍然可以绕过，本篇文章记录该漏洞的两次绕过。

2020-07-08 17:29:44 292921 1

Dubbo2.7.7反序列化漏洞存在绕过。

2020-07-08 14:00:59 136047 1

2020年07月01日， 360CERT监测发现 Microsoft官方 发布了 Microsoft Windows 编解码器库远程执行代码漏洞 的风险通告，该漏洞编号为 CVE-2020-1457和CVE-2020-1425 ，漏洞等级：严重。