2019-04-25 11:30:34 241170 3

ciscn 2019，Crypto真的没有排面，题目都比较基础，最后总分也不到300，可以说是比较影响参赛体验了。

2019-04-24 10:00:54 119553 0

ShadowHammer瞄准多家公司，华硕只是其中之一；CVE-2018-18500：利用Firefox的堆漏洞进行攻击；卡巴关于ShadowHammer供应链攻击的详细分析；反混淆JavaScript代码：Steam网络钓鱼网站。

2019-04-24 16:30:07 195113 0

本文是我在学习how2heap遇到的一些坑，做了一些整理，最主要的是因为glibc-2.26之后引入了tcache机制，导致刚开始学习时，发现运行结果和说好的不一样，N脸懵逼。

2019-04-24 10:39:05 171727 0

软件及服务器已经成为网络犯罪分子首选的攻击和篡改目标。攻击者会通过各种方式入侵原始软件，比如恶意篡改软件源代码、更新服务器，或者同时攻击这两个目标。

2019-04-24 14:30:32 156820 0

简单来说，ReDOS漏洞由于某些正则表达式在编写时忽略了安全性，导致在匹配搜索某些特殊的字符串时会消耗大量计算资源，产生DOS攻击的效果。

2019-04-24 15:30:22 228234 0

使用正则表达式进行匹配搜索可能需要计算执行大量计算步骤，但一般来说这并不是问题，但是，计算机也是有极限的，我们能否造出一个字符串让计算机长时间的超负荷运转？

2019-04-23 17:59:46 248446 2

jQuery官方于日前发布安全预警通告，通报了漏洞编号为 CVE-2019-11358的原型污染漏洞。由攻击者控制的属性可被注入对象，之后或经由触发 JavaScript 异常引发拒绝服务，或篡改该应用程序源代码从而强制执行攻击者注入的代码路径。

2019-04-23 14:17:06 274157 8

近期，360核心安全团队发现了一个作案时间长达7年之久的盗号团伙，该团伙捆绑了多种游戏外挂软件植入盗号木马，盗取包括聊天工具、Steam游戏、棋牌游戏等数十款客户端的账号密码，并通过倒卖这些账户最终获利。

2019-04-23 14:30:21 315205 8

本文的主要从绕过WAF过程中需要注意的角色、点出发，尝试理解它们的运作，构建一个简单的知识框架。如果对本文中的任何知识点有任何反对想法或是意见、建议，请提出来，这对笔者是十分重要的，笔者也会十分感激。

2019-04-23 09:44:31 118531 0

木马化的TeamViewer用于针对多个大使馆的定向攻击；FBI：2018年因网络犯罪而损失27亿美元；立法应为公民个人生物信息提供特殊保护；攻击组织使用Bit.ly，BlogSpot和Pastebin分发RevengeRAT。

2019-04-23 15:30:01 315996 9

这次web题真切得让我感受到了我得辣鸡 顿时被打了鸡血 最后只做出来一题，但是有两道题都是马上要出来了最后时间不够 ，这里总结一下。

2019-04-23 11:30:19 288952 12

这次比赛很尴尬，我本来以为自己报上了名，但是结果没报上。。。只能让同学给我发题目然后自己做，没法拿flag，一共六题，只做出来四题，两题栈，两题堆。

2019-04-22 18:58:10 148218 0

在这篇文章中，我将讲述我在某个网络应用中所找到的逻辑漏洞，它存在于“找回密码”这个功能中，可以让我接管任意用户的帐号。

2019-04-22 15:30:40 149056 0

代码审计是使用静态分析发现源代码中安全缺陷的方法，能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题，防患于未然，已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

2019-04-22 09:51:27 111692 0

WannaCry：哈钦斯现在正式成为一名被定罪的网络犯罪分子；Drupal发布四个较严重的的第三方漏洞；INPIVX隐藏服务，一种勒索软件攻击的新方法；Oracle WebLogic反序列化RCE漏洞。

2019-04-23 10:30:19 498750 0

前段时间自己学习了一下壳的编写，发现网上相关资料不是非常全，而且讲解顺序不太对胃口。因此参考了《黑客免杀攻防》中的代码对DLL型壳编写的结构进行了一次归纳整理，并附上相应代码解析。

2019-04-21 10:00:51 123693 0

法国政府安全消息软件 Tchap 被攻破；Google 谷歌阻止嵌入式浏览器框架的登录尝试；TeleKiller - 针对Telegram Windows的密钥窃取工具。

2019-04-20 20:00:03 119548 0

Facebook承认以明文存储了数百万Instagram用户的密码；新的INPIVX（RaaS：勒索软件即服务）服务可能会改变当前勒索软件的格局；Threatpost发现，四分之三的用户不相信Facebook。

2019-04-19 18:20:46 227121 0

根据官方文档的描述，我们大致能知道这是个需要权限的路径穿越的漏洞，并且可以将文件上传到任意路径。造成这个漏洞的关键点在于DownloadAllAttachments这个资源。

2019-04-19 14:45:33 151866 0

近日，国家安全机关发布三起破获的境外间谍情报机关对我国实施的网络攻击窃密案件，旨在进一步提高全社会网络安全意识，筑牢信息安全防线。

2019-04-19 14:17:45 171084 3

最近，有人发布了属于伊朗国家背景的APT攻击组织APT34(oilrig,HelixKitten）的黑客工具。

2019-04-19 11:35:36 255763 0

CNCERT依托我国宏观安全监测数据，结合网络安全威胁治理实践成果，在本报告中重点对2018年我国互联网网络安全状况进行了分析和总结，并对2019年的网络安全趋势进行预测。

2019-04-22 14:30:44 230946 2

最近看到一篇原型链污染的文章，自己在这里总结一下。

2019-04-19 10:14:44 140353 0

黑客揭露伊朗APT34组织的运营和成员信息；不安全的数据库泄漏了6000万个已删除的LinkedIn记录；勒索软件攻击有针对性的数据情报公司Verint；2019年Pwn2Own中的两个Mozilla Firefox中JIT的漏洞分析。

2019-04-22 10:30:05 183714 0

在这篇文章里，我会以题目中出现的逆向出来的代码以及C++的代码进行对比，让你们更好的知道，c++容器入门篇其实不难。

2019-04-18 16:34:39 153981 0

异形攻击又称地址池污染，是指诱使同类链的节点互相侵入和污染的一种攻击手法，漏洞的主要原因是同类链系统在通信协议上没有对非同类节点做识别。

2019-04-18 11:13:06 144894 0

2019年4月17日Confluence官方发布安全公告，Confluence Server和Data Center产品在downloadallattachments资源中存在一个路径穿越漏洞。

2019-04-18 10:11:28 211582 1

LosFormatter一般也是用于序列化和反序列化Web窗体页的视图状态(ViewState)，使用反序列化不受信任的二进制文件会导致反序列化漏洞从而实现远程RCE攻击，本文笔者从原理和代码审计的视角做了相关介绍和复现。

2019-04-18 10:00:15 113409 2

超过1亿JustDial用户个人数据被暴露在互联网上；利用ASLR薄弱点：Chrome沙箱逃逸漏洞分析；如何检测无文件恶意软件攻击；十个案例，深度解析侵犯公民个人信息犯罪。

2019-04-18 11:15:58 143580 0

2019年4月17日，白帽汇安全研究院（以下简称白帽汇）经过FOFA系统分析，发现存在许多未授权访问的iSCSI面临安全风险，任意的攻击者都可对未授权访问的iSCIS进行访问、修改、删除等操作，对用户造成数据泄露、数据丢失等风险。