一、背景 近日阿里雲安全團隊發現了一起利用多個流行漏洞傳播的蠕蟲事件。黑客首先利用ThinkPHP遠端命令執行等多個熱門漏洞控制大量主機，並將其中一臺“肉雞”作為蠕蟲指令碼的下載源。其餘受控主機下載並執行此

感謝ikimi的投遞 2014年一個主要的設計缺陷在舊的SSL 3.0加密協議中發現並修補，該協議暴露了所謂的POODLE攻擊的安全會話，並沒有真正消亡：一位研究人員在新的TLS中發現了

回顧2018年，網路犯罪分子通過不斷升級攻擊手段，進一步提高攻擊成功率並加速感染裝置的數量。憑藉拓展攻擊渠道和變換手段，發動TB級別DDoS攻擊、瞄準區塊鏈各節點、入侵IoT裝置，都為現階段的網路安全防護蒙上一

近日，阿里雲安全團隊釋出了《2018年雲上挖礦分析報告》。該報告以阿里雲2018年的攻防資料為基礎，對惡意挖礦態勢進行了分析，併為個人和企業提出了合理的安全防護建議。 報告指出，儘管加密貨幣的價格在2018

昨天Matt Miller在Blue Hat的演講中披露了一些驚人的統計資料。根據微軟安全響應中心收集的資料，這些數字清楚地證實了我們多年來一直在說的話： 與在現實中遭遇破壞的方式相比，將Windo

近來，網路上出現網際網路漏洞——DNS快取漏洞，此漏洞直指我們應用中網際網路脆弱的安全系統，而安全性差的根源在於設計缺陷。利用該漏洞輕則可以讓使用者無法開啟網頁，重則是網路釣魚和金融詐騙，給受害者造成巨大損失。

小夥伴們大家好 春節將至 脈搏給大家拜個早年 又是一年歸家時 爸媽總會擔心我們 關切的問我們的工作 我們的生活 一句，“搞安全的” 似乎也解釋不清楚

作者：阿里雲安全來源公眾號： 阿里雲安全 在剛剛過去的 2018 年，惡意挖礦事件層出不窮。儘管加密貨幣的價格經歷了狂歡後的暴跌之痛，但挖礦仍是網路黑產團伙在入侵伺服器之後，最直接的變現手段。隨著挖

概要 2017年最令人印象深刻的資訊保安議題，大概是勒索病毒。2018年，值得注意的資訊保安議題有哪些呢？ 根據2018 年ASRC（ASRC 垃圾資訊研究中心）郵件安全年度分析結果顯示，CP

雖然說都已經 9012 年了，安全從業者的日常依舊離不開各種工具的輔助。在 2018 年安全工具盤點的基礎上 ，我們今年再增加一些免費或開源工具，供讀者參考。其中有很多都經過專業人士的試用與推薦。

轉載請註明出處並附上源連結版權所有，侵權必究 我們專注漏洞檢測方向：danenmao、arnoxia、sharker、lSHANG、KeyKernel、BugQueen、zyl、隱形人真忙、oxen

微軟的 Exchange 先前被爆出存在 SSRF 漏洞，漏洞編號為： CVE-2018-8581 。此漏洞先前被公開的利用方案可導致攻擊者在擁有目標網路一個郵箱許可權的情況下接管網路內任何人的收件箱

⼀、2018 年網路空間安全總體形勢 ⽹絡安全的發展，離不開攻防之間的對抗。如果說⼤型漏洞爆發後的安全應急是和時間賽跑，那麼 2018 年這種賽跑已經進⼊了⽩熱化的階段。 在過去的⼀年內，《推進互聯⽹

說到 Web 安全，我們前端可能接觸較多的是 XSS 和 CSRF。工作原因，在所負責的內部服務中遭遇了SSRF 的困擾，在此記錄一下學習過程及解決方案。SSRF（Server-Side Request For

美國DARPA“配置安全”專案分析 作者：齊義勝 2017年11月，美國防部高階研究計劃局（DARPA）資訊創新辦公室（I2O）釋出“配置安全”（Configuration Security, ConS