ESET研究人員發現攻擊東南亞的新水坑攻擊活動，該攻擊活動自2018年9月開始活躍。研究人員共識別出21個被入侵的網站，其中有柬埔寨國防部、外交和國際合作部以及越南的新聞和部落格網站。 研究人員分析發現該活

背景介紹 ·2016年6月，卡巴斯基實驗室研究人員揭露，黑客利用遠端桌面協議（RDP）竊取85,000臺來自醫院、學校、航空公司和政府機構的伺服器，還公開在地下黑市販賣； · 2017年4月，黑

寫在前面的話 從2018年開始，大家幾乎每天都能聽到關於勒索軟體的訊息。除此之外，勒索軟體的更新和升級也從未停止過，比如說Dharma和SamSam這種殺傷力巨大的勒索軟體，變種版本層出不窮。實際上，在攻擊

題目很給力，能學到很多，而且做起來沒有什麼彎彎繞繞的東西，一般都直接給了程式碼 但就是程式碼都給了，然後無從下手，第一天對著程式碼發呆了一天，打自閉了。。。 賽後瘋狂學習一波。 bestphp’s

近些年，我們的生活因網際網路發生了翻天覆地的改變。從搜尋引擎到即時通訊，從電子購物再到文化娛樂，從吃飯住宿到旅遊出行，網際網路已經滲透到我們生活的方方面面。但網站、應用崩潰的事情似乎每天都在發生，而且節假日發生

網路程式設計 ISO模型與協議 http1.0：需要使用keep-alive引數來告知伺服器端要建立一個長連線 http1.1：預設長連線。支援只發送header資訊，可以用作許可權請求。支援

為了減少WEB響應時延並減小WEB伺服器負擔，現在WEB快取技術已經用的非常普遍了，除了專門的CDN，負載均衡以及反向代理現在也會快取一部分的網頁內容。這裡我要介紹一種WEB快取欺騙攻擊技術，這種攻擊技術針對P

10月18日，CCS大會進入到最後一天（19日還有一天的workshop議程），最近幾年的CCS都會把一些廣受關注的壓軸議題放到最後一天，今年的會議將傳統安全研究頗為關注的Web Security、B

meterpreter是一種高階、隱蔽、多層面的且可動態擴充套件的payload，可以將反射dll注入到目標主機的記憶體中，還可以在執行時動態載入指令碼和外掛來進行後滲透利用。 包括提權、轉存系統賬號、鍵盤

前言 2017年3月，ShadowBrokers放出了一份震驚世界的機密文件，其中包括兩個框架：DanderSpritz和FuzzBunch。 DanderSpritz完全由外掛組成，用於收集情報、利用

erbbysam和我最近打算挑戰一下HackerOne舉辦的最新的CTF比賽。本文是我們從開始到結束所採取的過程的記錄。 h1-5411 CTF以HackerOne釋出的推文作為一個開始： 點

背景 隨著網際網路的高速發展，資訊保安問題已經成為企業最為關注的焦點之一，而前端又是引發企業安全問題的高危據點。在移動網際網路時代，前端人員除了傳統的 XSS、CSRF 等安全問題之外，又時常遭遇網路劫持、

前情回顧 我們在2017年CCS特別報道中，專門提到：“本次CCS程式委員會主席絕密報告： 怎麼樣讓你的論文被國際頂級學術會議CCS 2018錄用 ！答案很簡單”，一年過去了，結果如何，答案

*本文原創作者：Aohanh，本文屬於FreeBuf原創獎勵計劃，未經許可禁止轉載 在滲透測試過程中，我們經常會遇到cookie得不到正確的利用，但是在一些框架中（比如PLAY、RACK），我們能

今天我要分享的是5萬多個Shopify平臺子域名劫持漏洞的發現過程。首先，我要說明的是，該漏洞不僅只存在於Shopify平臺系統，還存在其它幾個雲服務平臺系統中。在過去幾周時間裡，我們陸續聯絡了存在漏洞的各