2020-01-14 14:00:11 478544 0

2019年，国际网络安全形势仍然十分严峻，安全威胁来势汹汹，数据泄露，勒索攻击，黑客活动等各类网络安全事件层出不穷。

2020-01-14 14:00:44 393716 0

2019年， 随着我国数字化转型的深入发展，数据安全面临着前所未有的威胁。数据泄露、高危漏洞、网络攻击以及相关的网络犯罪呈现新的变化，个人安全意识缺乏、企业安全投入不足，也加重了网络安全事件所带来的损失和影响。

2020-01-13 16:30:28 1161530 6

我非常荣幸的参加了今年的阿里白帽大会，会上分享了一个议题 《漏洞挖掘进化论 - 推开 xray 之门》，这里做一个简单的记录和解读。 

2020-01-13 15:30:21 1073877 2

这两篇文章主要是讲windows 域内的权限访问控制，这是上篇，主要有ACL,ACE相关的一些基础概念的介绍。

2020-01-13 14:00:52 52247 0

在美国政府网站被攻破，特朗图被“重拳挂彩”后，昨日，一份有关工业控制系统状态的最新报告再次吸睛。

2020-01-14 15:30:51 1042284 0

CVE-2019-16113曝出在Bludit<=3.9.2的版本中，攻击者可以通过定制uuid值将文件上传到指定的路径，然后通过bl-kernel/ajax/upload-images.php远程执行任意代码。本文将对该漏洞进行详细的分析。

2020-01-14 16:45:54 1122132 5

在HW攻防对抗中我们进行前期的信息收集时，我们的各种渗透行为很有可能暴露自己的ip，导致们在后期进行渗透攻击行为时很容易被对方溯源，并且通过ip找到你。

2020-01-13 14:30:50 1114636 2

Apereo CAS 是一个开源的企业级单点登录系统，很多统一认证系统都是基于此系统二次开发，官网对于漏洞的一个通告，记录一下分析过程。

2020-01-13 10:30:35 59203 0

22GB包含560万美国公民的数据使用中国IP暴露在公网上；针对sha1算法攻击的paper被公开；通过暴露在外的SpringBoot Actuators利用H2数据库别名来进行远程代码执行。

2020-01-16 11:30:07 1068360 0

此时，ASLR已被破坏，因为已知共享缓存的基地址，并且可以使用堆喷射将受控数据放置在已知地址。剩下的就是再利用一次漏洞来执行代码。

2020-01-15 14:30:47 1183970 9

本文是关于android漏洞挖掘的fuzz初探，主要工具是IntentFuzzer，对其进行详细的分析。

2020-01-12 11:00:42 54037 0

5625万美国居民数据泄漏；Academic research 发现五家美国电信公司易受SIM交换攻击；Front Rush泄露了700,000份包括大学运动员的病历，成绩报告，驾驶执照和其他个人信息。

2020-01-15 10:30:48 1035874 0

这个漏洞最初获得是绝对地址解引用，其中读取的值稍后作为ObjC对象。因此，要实现此漏洞的exploit进行远程代码执行，需要对目标地址空间有一定的了解。这篇文章介绍了一种不需要任何信息泄露漏洞就能远程攻破ASLR的方法。

2020-01-11 11:00:46 74909 0

Sodinokibi勒索软件袭击了纽约机场系统；数以亿计的电缆调制解调器容易受到新的Cable Haunt漏洞的攻击；Broadcom的有线调制解调器面临远程劫持的风险。

2020-01-13 11:00:21 1131039 0

Citrix ADC及Citrix Gateway上个月被曝存在一个严重漏洞，编号为CVE-2019-19781。虽然Positive Technologies和Paddy Power Betfair最早公布了漏洞信息，但并没有公开利用该漏洞的方式，因此需要进一步研究。

2020-01-14 10:30:04 1028688 0

这是三篇系列文章中的第一篇，将详细介绍如何在iOS 12.4上远程利用iMessage中的漏洞，无需任何用户交互，它是我在2019年12月的36C3会议上演讲的一个更详细的版本。

2020-01-10 14:00:27 107228 3

细数2019年典型的“超级漏洞”案例，我们能够感受到刚过去这一年的“惊心动魄”——

2020-01-10 16:30:17 1122143 0

近两年，围绕数据利用与数据安全的议题持续升温。与此同时，数据安全的概念也已经突破传统保护数据机密性、完整性、可用性的范畴，内涵与外延均在不断扩充、延展。

2020-01-10 10:00:30 67761 0

伊朗APT组织入侵沙特石油公司；东南亚10国联合网络行动，打击IOT犯罪；美伊冲突转移到网络领域；北美电力实体的威胁状况。

2020-01-10 11:30:48 1182186 1

TikTok（抖音国际版）覆盖全球150多个国家和地区，提供75种服务语言，拥有超过10亿用户，在全球拥有极高的热度。截至2019年10月份，TikTok是世界上下载次数最多的应用程序之一。

2020-01-09 16:30:41 1186164 0

随着2019年的逝去，二十一世纪第二个十年也已随之结束。回顾过去的十年，我们的生活随着科技的进步发生了翻天覆地的变化，这其中，手机就是其中一个最直观的表现。

2020-01-19 15:30:34 52464 0

2020-01-10 10:30:47 1121408 0

这是linux pwn系列的第二篇文章，前面一篇文章我们已经介绍了栈的基本结构和栈溢出的利用方式，堆漏洞的成因和利用方法与栈比起来更加复杂。

2020-01-09 14:30:02 1127819 0

这个系列主要介绍linux pwn的基础知识，包括堆栈漏洞的一些利用方法。这篇文章是这个系列的第一篇文章。这里我们以jarvisoj上的一些pwn题为例来对linux下栈溢出利用和栈的基本知识做一个简单的介绍。

2020-01-09 10:15:00 107611 1

2019年01月08日，360CERT检测到之前CVE-2019-19781 Citrx代码执行漏洞 路径遍历利用方式的PoC被公开。该漏洞利用复杂性低，且无权限要求。NVD CVSS3.1 基础得分为9.8分，属于严重漏洞。

2020-01-09 10:00:34 54068 0

Project Zero 2020年漏洞披露方案修正，报告 90 天之后就强制披露细节；Apache2的一个后门模块项目；Android 发布 2020 年 1 月份的补丁公告，修复 Media 框架的一个严重漏洞。

2020-01-10 14:30:03 1095965 1

本文提出了一个基于量化截断机制的多子网隐写分析模型，实验证明它具有良好的检测性能。

2020-01-09 16:00:17 1152759 1

这篇文章主要介绍ws2ifsl.sys中最近修补的UAF漏洞（CVE-2019-1215），这个漏洞可用于本地特权提升。

2020-01-08 16:00:46 52969 1

美国一名高级IT主管(高级经理)承认，他通过成立一家假的技术服务公司向其老板收取虚假服务费用，从而骗走了他的雇主600万美元。

2020-01-08 16:29:20 1149598 0

Ghidra是美国NSA开源的一款跨平台软件逆向工具,  目前支持的平台有Windows, macOS及Linux并提供了反汇编、汇编、反编译等多种功能。