2018-10-16 11:57:39 138550 1

日前，彭博社报道称美国超微公司生产的服务器主板上被发现了不足米粒大小的芯片，这个芯片的功能被人改变，以此建立一条攻击通道，该问题涉及亚马逊、苹果等30家美国高科技公司。

2018-10-16 10:00:42 88805 2

不要让你的电子邮箱被钓鱼邮件攻击；至少3千5百万投票数据在黑客论坛上被出售；FaceBook不会为近期因为数据泄露的受害者提供账户保护。

2018-10-16 11:00:19 155134 3

白帽汇监测到网络上出现了最新MetInfo的sql注入漏洞。该漏洞是由于攻击者可以绕过MetInfo的过滤sql注入恶意代码的函数，使得攻击者在前台就可以通过index.php页面的参数id进行SQL注入，并且直接获得管理员数据，接管整个CMS。

2018-10-15 17:43:56 92981 1

360代码卫士团队推出“缺陷周话”系列栏目。每周针对 CWE、OWASP 等标准中的一类缺陷，结合实例和工具使用进行详细介绍，旨在为广大开发和安全人员提供代码审计的基础性标准化教程。

2018-10-15 16:45:54 109828 1

Dice2win是以太坊上异常火爆的区块链博彩游戏。号称“可证明公平的”Dice2win每日有近千以太下注额，总交易量仅次于etheroll。然而我们分析发现dice2win中所有游戏都存在漏洞，庄家可以操纵结果。

2018-10-15 16:30:41 146353 1

对于美国来说，物联网的发展已经成为其国内科技与经济发展的重要一环。《IoT设备网络安全法》于2018年9月28日由加州州长批准，并将于2020年1月1日起实施生效。

2018-10-15 15:30:13 117588 1

国庆节的时候，Git爆了一个RCE的漏洞，放假回来进行应急，因为公开的相关资料比较少，挺头大的，搞了两天，RCE成功了。

2018-10-16 14:30:36 116345 0

MikroTik是一家拉脱维亚公司生产的路由器和ISP无线系统，在过去几个月中，该产品一直在应对其操作系统存在的数个安全漏洞。通过最新的攻击方法，被感染的路由器可以向用户展示一个虚假的浏览器更新页面。

2018-10-15 14:33:52 210852 1

针对近期出现的关于WiFi的安全资讯，对与其相关的技术进行科普讲解。

2018-10-15 09:51:48 79612 0

CVE-2018-18287 - 华硕RT-AC58U 3.0.0.4.380_6516设备上IP地址与主机名暴露漏洞；CVE-2018-12386 - Firefox JavaScript类型混淆RCE分析；安全专家发现微软对JET数据库引擎漏洞（CVE-2018-8423）的修复并不完整。

2018-10-14 10:00:03 78613 0

Bug还是Feature？iOS12中的Safari会缓存数组状态；专家称虚假的Flash升级工具携带有挖矿后门；微软针对JET Bug 的补丁并不完美；详细解释TLS连接过程。

2018-10-14 11:11:41 319798 3

护网杯刚结束，记录一下做出的3道web（1道赛后解出），很遗憾有一道java没能解出。

2018-10-15 15:18:23 123392 0

CVE-2018-8495漏洞是攻击者利用Edge的多个漏洞，通过滥用定制的URI方案实现远程代码执行。

2018-10-13 09:30:12 57510 0

Wi-Fi新标准-WPA3蜻蜓(Dragonfly)密钥交换协议分析；前端安全系列（二）：如何防止CSRF攻击？；大量中国用户apple ID被窃取用来入侵电子钱包。

2018-10-16 16:30:56 290962 8

国庆期间得知了美国CMU主办的picoCTF比赛，出于最近做题的手感有所下降，借此比赛来复习下PWN相关的题型（题目的质量不错，而且题型很广，自我感觉相当棒的比赛）

2018-10-15 15:00:02 495557 0

在过去的4年中，对微软活动目录（Microsoft Active Directory）的攻击一直都是Black Hat和Defcon会议关注的一大重点。演讲者们不断讲解新的攻击角度，分享他们的发现，同时也提出检测方法和防御方案。

2018-10-12 16:30:09 214418 1

在2018年1月8日美国拉斯维加斯的国际消费电子展(CES)上，Wi-Fi联盟发布了最新的WPA3加密协议，作为WPA2技术的的后续版本，并在2018年6月26日，WiFi联盟宣布WPA3协议已最终完成。

2018-10-15 16:00:58 116589 0

MuddyWater是一个相对新型的APT，在2017年进入我们的视线。根据过去的持续监测，该APT起初主要针对于伊拉克和沙特阿拉伯的政府部门。

2018-10-13 10:00:24 227347 0

Kekeo，是 Benjamin Delpy 继 Mimikatz 之后开发的另一个大项目，这个代码库集成了很多很赞的功能。

2018-10-12 14:28:28 227455 3

某天下班后，我接到一通电话。

2018-10-12 11:30:48 160788 0

随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。

2018-10-12 09:57:37 99283 3

空中客车赢得欧盟重大网络安全合同；关于中国供应链硬件攻击的另一个彭博故事；谷歌G Suite上线警报中心，帮助检测和降低安全威胁；警方逮捕了臭名昭着的SIM Swapper，据称他偷了1400万美元的加密货币。

2018-10-12 16:00:59 321809 8

Fuzzer是一种通过产生一系列非法的、非预期的或者随机的输入向量给目标程序，从而完成自动化的触发和挖掘目标程序中的安全漏洞的软件测试技术。

2018-10-11 17:36:25 138312 0

据白帽汇安全研究院统计，目前发现超过30w的MikroTik路由器被植入挖矿代码，攻击者利用的是维基解密披露的CIA Vault7黑客工具Chimay Red中的winbox任意目录文件读取（CVE-2018-14847）漏洞。

2018-10-15 11:33:00 138876 1

从零开始分析struts2代码执行exp，其中不但包括了struts2自己设置的防护机制绕过，还有ognl防护绕过。

2018-10-11 12:00:37 121530 0

10 月 9号，Tavis Ormandy 通过公开邮件列表（hxxps://bugs.chromium[.]org/p/project-zero/issues/detail?id=1682） ，再次指出 ghostscript 的安全沙箱可以被绕过，通过构造恶意的图片内容，可造成任意文件读写。

2018-10-11 11:49:11 162637 1

在2018年1月发表的《Android平台挖矿木马研究报告》中，我们已经介绍了挖矿木马，并对挖矿木马的产业现状，原理与危害做了详细阐述。报告中提及到此类木马已有转向攻击电子钱包的趋势。

2018-10-11 09:51:06 72974 2

门罗币挖矿新家族「罗生门」；英美安全机构否认调查中国“间谍”芯片；谷歌 Pixel 3 搭载新CFI内核保护功能。

2018-10-12 14:30:47 116960 0

本报告基于卡巴斯基实验室在用户计算机驱动器根目录中的文件保护技术的检测结果，并应用了特定的扫描过滤器和其它度量措施。

2018-10-17 10:00:31 189424 12

本文为对CVE-2018-17182漏洞的详细分析。