经过三个多月的招募和大众在线评分及专家顾问组的专业评审,最终评选出18大优质议题亮相KCon舞台,一起开启这场充满未知的探索之旅!
Fooying老师与破壳学院历经240天反复打造的WEB安全知识系统化课程,7章57节751分钟,50+视频课程配套破壳学习资料和课堂笔记,30+个课后实战练习,通过“陪伴式”教学服务帮助你更加轻松的加深知识记忆,让你的学习效率提升约60%,帮助你在挖漏洞时施展更全面的技术知识。
今天看到在群里看了这篇文章Discuz!ML v.3.X Code Injection Vulnerability,因为涉及到dz这一通用论坛架构,所以我饶有兴趣的跟进去看了下,其实这个dz多语言版在国内影响不是很大,但是上文没有给出漏洞成因,于是就有了这篇分析文章。
在长期跟踪僵尸网络远控、挖矿和DDoS类的木马过程中,发现国内黑产组织或个体常用HFS搭建文件服务器,作为僵尸网络放马站点,通过放马站点大规模传播感染植入木马进行窃取信息、挖矿或发起分布式拒绝服务攻击等威胁活动。
最近我在渗透测试过程中,遇到了一个Atlassian Crowd环境。搜搜该版本有没有漏洞,找到了CVE-2019-11580。经过一番搜索后,我并没有找到该漏洞对应的PoC,因此我决定分析漏洞,尝试自己构建PoC。
网上关于AFL(WinAFL)的分析文章较多,而关于libfuzzer和honggfuzz的分析文章较少。之前泉哥已经写过关于honggfuzz的文章。本文是自己学习期间的一个笔记,读者也可当成对泉哥文章的一点补充。建议读者先阅读泉哥的文章,本文不会再涉及重复的内容。
本文章旨在顺着17年fastjson第一次爆出漏洞到现在为止,看一下fastjson的缝缝补补,瞻仰一下大佬们和安全开发人员的斗智斗勇,对期间的漏洞做一个汇总,获悉其中漏洞挖掘的一些规律。
019年7月15日,美国方面报道称,伊朗革命卫队下属的网络电子信息战部队,目前正在对美国信息网络进行全方位的打击。
西班牙安全公司报告称:阿桑奇在厄瓜多尔大使馆干预了美国大选;FIRST安全团队发布 通用漏洞评分系统(CVSS)3.1版;Google 将要移除内置的 XSS 保护 (XSS Auditor)。
2018年,ASRC收到了近千名白帽黑客提交的有效漏洞和情报;2019年,ASRC要探寻更多元、人情味更浓郁的白帽子新玩法。王牌A计划,是开端,也仅是搞事情的,第一步。
作为互联网安全行业的盛会,第七届互联网安全大会(ISC)将于8月19 – 20日在北京·雁栖湖国际会展中心举行。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
实际上利用DYLD_INSERT_LIBRARIES环境变量是macOS上非常知名的一种注入技术。,系统会在程序加载前加载我们在该变量中指定的任何dylib,实际上就是将dylib注入应用程序中。
LFSR(线性反馈移位寄存器)已经成为如今CTF中密码学方向题目的一个常见考点了,因此接下来我将通过几篇文章,对这类知识点进行一个详细的分析。
本文是《AI与安全》系列文章的第三篇。在前文中,我们介绍了Attack AI的基础概念,即黑客对AI发起的攻击,主要可以分为三种攻击类型,破坏模型完整性、可用性和机密性的攻击。
揭露Tesla特工多年的活动;Sodinokibi勒索软件或将成为下一个巨大威胁;vpnMentor发布IoT相关数据泄露预警;Instagram账户存在爆破可能;2019年《全球风险报告》中文版:全球风险“失控”的情况正在显现。
马蜂窝安全应急响应中心致力于为全线业务提供技术保障,为白帽子、安全团队及安全爱好者们建立同马蜂窝技术部直接交流合作的平台。
招聘
广州亚美信息科技有限公司(简称“亚美科技”)成立于2011年,是中国领先的车联网智能车载设备制造商、车联网大数据平台商以及车联网生态整合企业。亚美科技创办至今,一直坚持用匠心精神做产品,用互联网模式整合生态链,科学运用大数据平台优势,致力于让每一位车主,都能享受到车联网科技带来的品质生活。
在本文中,我们将讨论如何滥用URL Scheme,实现隐私泄露、账单欺诈、以及弹出式广告等恶意场景。
再阅读了本文的上篇之后,让我们继续来分析KSL0T。