微软2017年12月发布的补丁星期二（2017年12月12日）更新解决了30多个安全漏洞，其中包括19个影响Internet Explorer和Edge网页浏览器的严重漏洞。Google，Palo Alto Networks，McAfee 和奇虎360的研究人员向微软报告了这些漏洞...

CVE-2017-8570漏洞是一个逻辑漏洞，利用方法简单，影响范围广。由于该漏洞和三年前的SandWorm（沙虫）漏洞非常类似，因此我们称之为“沙虫”二代漏洞。编号CVE-2017-8570影响版本Microsoft Office 2007 Service Pack 3Microsof...

高级威胁漏洞背景在高级威胁攻击中，黑客远程投递入侵客户端最喜欢的漏洞是office文档漏洞，就在刚刚结束不久的黑帽子大会上，最佳客户端安全漏洞奖颁给了CVE-2017-0199漏洞，这个漏洞是时下o...

这个漏洞背后的图标显示bug可以深溯到Windows图像处理代码，其允许攻击者“借来”本地其他常用的图标并自动将可移植的可执行文件伪装起来，这样就更容易诱使用户打开他们。保守来说，自从Windows 7以来，这个bug就已经出现，而...

2016 年 Java 应用程序及开发者受到反序列化漏洞的破坏性影响，而如今 .NET 生态系统也正在遭受同样的危机。新的问题存在于 .NET 代码库中处理反序列化的操作中，攻击者同样可以通过这个漏洞在服务器或相关计算机设备上...

所谓的CVE-2017-8570样本上周360天眼实验室发现了有国外黑客在Github上发布了CVE-2017-8570漏洞的利用代码，但随即删除，以此之后发现了不少标注为CVE-2017-8570...

在评估漏洞影响时，人们关注的往往是漏洞风险，而实际上，漏洞潜伏的时间也是一个非常重要的因素。时间跨度大，也就意味着在此期间使用这些含有漏洞的软件的设备更多，影响的设备就更多；而时间跨度长，也就意味着被...

大家好，距离上次漏洞披露已有半年之余，在这篇文章中，我将向大家展示如何通过4个漏洞完美实现GitHub Enterprise的RCE执行，该RCE实现方法与服务器端请求伪造技术（SSRF）相关，技术稍显过时但综合利用威力强大。最终，该RCE漏洞被G...

早在6月13日，微软发布补丁修复编号为CVE-2017-8464的漏洞，本地用户或远程攻击者可以利用该漏洞生成特制的快捷方式，并通过可移动设备或者远程共享的方式导致远程代码执行，追溯到以前，NSA就承认利用过相似漏洞且以“Olympic...

在这篇文章中，我准备跟大家讨论几种不同的场景，在这些场景中，不同的服务都会收集各种各样的数据，但它们又无法正确地去处理这些数据。在某些情况下，数据采用的是安全格式存储和传输的，但是由于数据的解析操作以...