置顶
7月23日,2019年第二期季刊又要与大家见面了!本期季刊重点着力于当下网络安全热门话题,收录专业实用的技术文章,我们对文章的质量严格把关,对品质始终恪守不渝,只愿为安全爱好者带来最好的干货!季刊抽奖有新玩法哟~
招聘
苏州极光无限信息技术有限公司成立于2019年3月,坐落于苏州金鸡湖畔的5A级写字楼苏州中心,是由全球金融领域TOP50的金融科技巨头全资控投的一家信息安全科技公司。
云服务涉及的隐私信息太多太多,一旦被发现漏洞并被恶意利用,都可能造成很严重的影响。因此,针对i.mi.com和cloud.mi.com两大云服务,MiSRC特推出专项测试活动。
大会以“直面信息安全挑战,创造最佳实践”为主题,聚焦企业信息安全技术与实践应用等热点话题,致力于推进企业信息安全体系建设、加强企业信息安全管理、助推企业信息安全生态圈的健康发展。
SophosLabs安全研究团队近日在Windows ActiveX数据对象(ADO)组件中发现了一个use-after-free漏洞,本文详细阐述其漏洞原理和漏洞利用过程。
该靶机还是蛮有趣的,属于中等难度,在该次实战中,大家将能接触到NSF入侵以及伪造passwd提权等内容。若有出错的地方,还希望大家指正,后续将为大家带来更精彩的实战。
2019年2月,FreeBSD项目发布了一份关于文件描述符处理可能存在漏洞的报告。该报告进一步指出,此错误可能导致本地权限提升,以获得root权限或越权逃逸。但是,报告的作者并没有提供概念验证。
移动贷款相关应用程序将高度敏感的信息添加到可公开访问的数据库中;StrongPity:APT组织间谍活动;Extembro DNS 活动:组织用户访问安全相关的网站;Turla APT小组将Topinambour Trojan添加到其武器库中。
经过三个多月的招募和大众在线评分及专家顾问组的专业评审,最终评选出18大优质议题亮相KCon舞台,一起开启这场充满未知的探索之旅!
Fooying老师与破壳学院历经240天反复打造的WEB安全知识系统化课程,7章57节751分钟,50+视频课程配套破壳学习资料和课堂笔记,30+个课后实战练习,通过“陪伴式”教学服务帮助你更加轻松的加深知识记忆,让你的学习效率提升约60%,帮助你在挖漏洞时施展更全面的技术知识。
今天看到在群里看了这篇文章Discuz!ML v.3.X Code Injection Vulnerability,因为涉及到dz这一通用论坛架构,所以我饶有兴趣的跟进去看了下,其实这个dz多语言版在国内影响不是很大,但是上文没有给出漏洞成因,于是就有了这篇分析文章。
在长期跟踪僵尸网络远控、挖矿和DDoS类的木马过程中,发现国内黑产组织或个体常用HFS搭建文件服务器,作为僵尸网络放马站点,通过放马站点大规模传播感染植入木马进行窃取信息、挖矿或发起分布式拒绝服务攻击等威胁活动。
最近我在渗透测试过程中,遇到了一个Atlassian Crowd环境。搜搜该版本有没有漏洞,找到了CVE-2019-11580。经过一番搜索后,我并没有找到该漏洞对应的PoC,因此我决定分析漏洞,尝试自己构建PoC。
网上关于AFL(WinAFL)的分析文章较多,而关于libfuzzer和honggfuzz的分析文章较少。之前泉哥已经写过关于honggfuzz的文章。本文是自己学习期间的一个笔记,读者也可当成对泉哥文章的一点补充。建议读者先阅读泉哥的文章,本文不会再涉及重复的内容。
本文章旨在顺着17年fastjson第一次爆出漏洞到现在为止,看一下fastjson的缝缝补补,瞻仰一下大佬们和安全开发人员的斗智斗勇,对期间的漏洞做一个汇总,获悉其中漏洞挖掘的一些规律。
019年7月15日,美国方面报道称,伊朗革命卫队下属的网络电子信息战部队,目前正在对美国信息网络进行全方位的打击。
西班牙安全公司报告称:阿桑奇在厄瓜多尔大使馆干预了美国大选;FIRST安全团队发布 通用漏洞评分系统(CVSS)3.1版;Google 将要移除内置的 XSS 保护 (XSS Auditor)。
2018年,ASRC收到了近千名白帽黑客提交的有效漏洞和情报;2019年,ASRC要探寻更多元、人情味更浓郁的白帽子新玩法。王牌A计划,是开端,也仅是搞事情的,第一步。
作为互联网安全行业的盛会,第七届互联网安全大会(ISC)将于8月19 – 20日在北京·雁栖湖国际会展中心举行。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。