元旦假期前，微信小游戏功能上线，一款名为“跳一跳”的小游戏迅速在朋友圈刷屏。无需下载直接在微信小程序就可以玩，玩法简单、容易上瘾，还能与朋友PK。 游戏和辅助（外挂）就像一对好基友，大多数时间都是同...

昨天不少外媒报道了 Intel 芯片级安全漏洞出现，可能导致 Linux 和 Windows 内核关键部分需要重新设计。这个漏洞会导致攻击者从普通程序入口获取推测到本该受到保护的内核内存区域的内容和布...

Bluecms是一个地方网站的开源的cms，在很多地方性的网站上应用还是不少的，今天在逛seebug的时候看到了一个漏洞的公告。有公告但是这里还没有详情，很好奇我就去下载了一套源码看了看，好像这个c...

近期，Fortinet（飞塔）主机终端安全防护软件FortiClient，被曝在Windows登录界面处存在权限提升漏洞（CVE-2017-7344 ），可被攻击者利用，绕过Windows系统锁屏，或以匿名方式进入Windows系统。FortiClient是集攻击防护、漏洞检测、病...

说实话，有一两个月没有审计大厂了，然后随便看到群里有人问dede最新有没有漏洞，就下了一套最新的dede，结果我一看还真发现了。 我们发现后台添加广告的地方存在跨站请求伪造漏洞。远程攻击者可通...

近日从客户处捕获一枚邮件附件中的可疑word样本，以下是扫描结果，检测率貌似不高。手动分析吧。文件md5：0b16b255918264667a9f03e0b9f451671.攻击流程的第一步打...

HSTS是让浏览器强制使用HTTPS访问网站的一项安全策略。HSTS的设计初衷是缓解中间人攻击带来的风险。本文主要介绍HSTS及其他Web功能带来的一些隐私问题，比如如何利用它们来探测浏览器的用户历史纪录。作者 | tocttou一...

意大利安全专家Vincenzo C. Aka发现Uber平台存在身份认证漏洞，任意账户都可以利用该漏洞重置密码，这一发现于昨日正式公布。实际上，引发此次“身份认证危机”的漏洞是在七个月前发现的，Vincenzo C. Aka当时通过HackerOne...

前言在面对xss漏洞的时候，笔者通常会简单的找个xss平台，插入一段平台的xss代码，盗取个cookie，就自以为是的认为自己掌握了xss漏洞。这篇文章旨在抛开xss漏洞平台，从简单利用源代码的角度，分享一下如何利用xss获取用户的cook...

1月3日深夜，微软发布了针对Meltdown和Specter的系统安全更新，而两个安全漏洞影响了几乎所有自1995年以来发布的CPU（不止Intel）。根据微软的安全建议来看，这些 Windows 安全更新能够解决了各种Windows 发行版中的Meltdown和...