2021-10-23 22:31:01 58299 0

阿里云安全团队监测到Npm官方仓库ua-parser-js官方账号疑似被恶意劫持，并遭遇投毒攻击，多个版本被攻击者植入挖矿脚本。

2021-11-04 10:30:33 427337 0

在现在CTF比赛中qemu逃逸题目已经越来越常见，希望能通过这篇文章让大家对最近qemu逃逸题目学习有一点帮助。

2021-11-16 16:30:07 113870 2

2021年“绿盟杯”重庆市大学生信息安全竞赛-WP。

2021-11-02 14:30:17 71168 0

最近在恶补反序列化的知识点，mysql jdbc反序列化漏洞也是一个比较经典的漏洞。学习的过程中正好发现AntCTFxD^3CTF有道赛题把这个知识点出成了题目，为了了解该jdbc漏洞的利用场景，周末把环境和docker容器搭起来进行漏洞复现。

2021-11-09 10:00:00 6169 0

Apache httpd Server 2.4.49 版本引入了一个具有路径穿越漏洞的新函数，但需要配合穿越的目录配置 Require all granted，攻击者可利用该漏洞实现路径穿越从而读取任意文件，或者在配置了cgi的httpd程序中执行bash指令，从而有机会控制服务器。

2021-11-04 10:00:34 154929 0

iOS系统历来以重视隐私安全作为更新的重点和宣传的亮点，已装应用作为隐私安全的一部分应该得到限制，一旦泄露后果不堪设想。

2021-11-08 10:00:43 160175 0

作为安全研究人员的基本功之一，我们通过分析程序所有的系统API调用就能大致知道程序的作用，或者至少可以知道程序是正常程序还是恶意软件。

2021-10-29 10:30:47 6833 0

本次实验项目源码来源之前我写的Shiro-CTF的源码https://github.com/SummerSec/JavaLearnVulnerability/tree/master/shiro/shiro-ctf ，项目需要database文件上传到GitHub项目 learning-codeql上。

2021-10-27 14:30:56 59278 0

RCE回显技术在20年突然火爆全网，这里学习跟进一下。看了很多大佬分析技术文章和实现方法可谓是百花齐放，但情有独钟的一种方法是来着zema1/ysoserial里面中的回显技术。

2021-10-23 10:00:58 58592 0

前有facebook不要“脸”，后有YouTube创作者被钓鱼。

2021-10-22 16:43:28 61124 0

据悉，谷歌近日宣布推出首个安卓企业版漏洞赏金计划，以此来奖励安卓企业版本在 Pixel 设备上的运行漏洞。其奖金相当丰厚，最高金额高达25万美元！

2021-10-22 16:30:48 78827 0

安全人员调查发现，FIN7黑客组织建立了一家“网络安全”公司，并大规模招募安全人员进行“渗透测试”，想要涉足勒索软件攻击业务。

2021-10-28 18:00:38 12500 0

本届L3HCTF是由XCTF联赛的合作单位L3H_Sec战队组织，由赛宁网安提供技术支持。作为第七届XCTF国际联赛的分站赛，本次比赛将采用在线网络安全夺旗挑战赛的形式，面向全球开放。

2021-10-22 09:30:54 50622 0

推特将涉嫌窃取4500万阿根廷人数据的黑客账户关闭；Squirrel引擎漏洞可能让攻击者入侵游戏和云服务；针对东南亚的新间谍活动。

2021-10-21 18:00:46 18996 0

第十届 KCon 黑客大会将于2021年10月30日至31日在北京昆泰嘉瑞文化中心举办，目前已进入开幕倒计时。相信关注我们的朋友正翘首以待本届大会的议程及特色亮点，本次推送便为大家进行揭秘！

2021-11-03 16:30:19 17306 0

很早就得知realloc一些特殊的作用，但一直以来都是硬套，导致有时候并不能很快的反应过来（太菜了…），所以在赛后对realloc做个整理，如果感兴趣的话就一起看下去吧！

2021-10-25 17:30:43 34331 0

CVE-2020-9054是由于可执行文件weblogin.cgi在身份验证期间未正确过滤username参数造成的，导致攻击者可以在传递给此文件的用户名中包含某些特殊字符来触发漏洞，进而以webserver的权限实现命令注入。

2021-10-21 16:30:31 29124 0

美国商务部工业和安全局 (BIS) 发布最新控制措施，禁止美国公司出口和转售软件和硬件工具。

2021-10-21 09:30:18 10486 0

国家支持的黑客利用定制恶意软件入侵电信公司；TikTok通过“我们中间的假”和“蒸汽”服务提供新的玩家目标；TeamTNT在Docker Hub上部署恶意Docker映像。

2021-10-25 10:30:09 36704 0

V8是chrome核心组件，重要程度不用多言。本系列文章，讲解V8源码，力求做到全面覆盖知识点、有理论支撑，做到细致讲解代码、有实践依据。

2021-10-25 10:31:54 39273 0

本文不会介绍CPU特权级别，中断，MSR，段机制及页机制等相关前置知识，如果读者此前未接触过这些，建议阅读Intel SDM对应篇章或者参阅链接之后再继续下面篇幅。

2021-10-22 14:30:16 3583 0

V8是chrome核心组件，重要程度不用多言。本系列文章，讲解V8源码，力求做到全面覆盖知识点、有理论支撑，做到细致讲解代码、有实践依据。

2021-10-24 10:00:14 62988 0

该样本属于最新版本TEAMTNT样本，被云鼎实验室捕获。本文将会使用ATT&CK矩阵溯源分析样本在入侵、持久化、容器逃逸等完整攻击路径，为大家清晰还原黑客攻击手法和全貌。

2021-10-22 17:30:53 33442 0

好消息，好消息，平安产险双11众测活动带着他的双倍奖励，向我们走来了！

2021-10-20 16:30:55 30992 0

近期REvil相关的暗网域名和其他资产相继下线，让人不免想入非非。

2021-11-04 16:30:32 477668 0

今年(2021) DEFCON 决赛出了一道有意思的 KoH 题(shoow-your-shell)，用 shellcode 读取 secret 文件内容并输出，比谁用的字符更少，字符数相同时比谁的长度更短。

2021-10-20 17:00:10 3588 0

由字节跳动安全与风控团队主办的「安全范儿高校挑战赛决赛」暨「字节跳动安全风控论坛」，将于2021年11月19日在北京举办。

2021-10-20 09:30:41 7558 0

新组织Harvester使用新工具攻击南亚组织；蔓灵花APT组织针对军工行业新近攻击活动分析；CVE-2021-20836: CX-Supervisor 越界读取漏洞。

2021-10-27 15:30:45 55106 0

题目给了一个后门选项666，在backdoor函数中，在读入Username时，由于读入过长产生变量覆盖，可以覆盖到栈上的文件名，因此直接覆盖成flag的地址即可获取flag。

2021-10-20 18:00:40 3883 0

10月15日，由安世加主办的EISS-2021企业信息安全峰会之深圳站完美落幕！