轉載請註明出處並附上源連結版權所有，侵權必究 我們專注漏洞檢測方向：danenmao、arnoxia、sharker、lSHANG、KeyKernel、BugQueen、zyl、隱形人真忙、oxen

微軟的 Exchange 先前被爆出存在 SSRF 漏洞，漏洞編號為： CVE-2018-8581 。此漏洞先前被公開的利用方案可導致攻擊者在擁有目標網路一個郵箱許可權的情況下接管網路內任何人的收件箱

⼀、2018 年網路空間安全總體形勢 ⽹絡安全的發展，離不開攻防之間的對抗。如果說⼤型漏洞爆發後的安全應急是和時間賽跑，那麼 2018 年這種賽跑已經進⼊了⽩熱化的階段。 在過去的⼀年內，《推進互聯⽹

說到 Web 安全，我們前端可能接觸較多的是 XSS 和 CSRF。工作原因，在所負責的內部服務中遭遇了SSRF 的困擾，在此記錄一下學習過程及解決方案。SSRF（Server-Side Request For

前言 在上週，以太坊準備進行君士坦丁堡硬分叉的前一日被披露出來了一則漏洞，該漏洞由新啟動的 EIP 1283 引起， 漏洞危害準確的說應該是一種可能會讓一些合約存在重入漏洞的隱患，而不是一定會使合約產生重

最近在閱讀安全類文章時看到有同學分享如何利用excel進行XXE攻擊，閱讀後發現一些模糊的利用方式。由於漏洞場景非常常見，讓我十分感興趣，並決定一探究竟。注意本文驗證僅用於學習與研究，請勿非法利用。 背景知

美國DARPA“配置安全”專案分析 作者：齊義勝 2017年11月，美國防部高階研究計劃局（DARPA）資訊創新辦公室（I2O）釋出“配置安全”（Configuration Security, ConS

這兩天關於以太坊延遲君士坦丁堡升級的報導鋪天蓋地，可惜到現在都沒看到一篇能把這個漏洞講透徹的，就由我來給大家解密吧。 上一篇文章給大家介紹過EIP 1283，是為了優化SSTORE指令的gas計算方式的，這

2019年1月9日，Imperva釋出報告，顯示2018年Web應用漏洞狀況並不太好，共報告了 17,142 個漏洞。 2018年記錄的Web應用漏洞比上年增長21%。Web應用漏洞型別多樣，

根據網上釋出關於thinkphp 5.x遠端程式碼執行漏洞預警，分析漏洞發生點，對比官方git更新版本，對照發現更新為request類，如下圖所示： 觀察發生更改的點為pathinfo()、method()

毫無疑問，IoT 會繼續增長。 萬物互聯已經取得了巨大進步，從零售到醫療、從可穿戴裝置到智慧汽車，IoT 正在影響所有行業。一項調查預估到 2018 年末，全球會有 200 億個聯網裝置。 然

寫在前面的話 在資訊保安領域中，“無檔案攻擊”屬於一種影響力非常大的安全威脅。攻擊者在利用這種技術實施攻擊時，不會在目標主機的磁碟上寫入任何的惡意檔案，因此而得名“無檔案攻擊”。然而，為了更好地應對“無檔案

1.OpIcarus 2018 2018年12月11日，疑似匿名者（Anonymous）組織成員Lorian Synaro在推特上號召發起針對全球中央銀行網站的攻擊行動OpIcarus 2018或OpIca

摘要: GitLab 推出公開漏洞獎勵計劃，最高賞金1.2萬美元本週，開源的 Git 倉庫管理系統 GitLab 宣佈推出公開的漏洞獎勵計劃。研究人員如在產品和服務中發現嚴重漏洞，最高可獲得1.2萬美元的獎勵

0x00 介紹 postMessage是html5新增的一個解決跨域的方法，主要解決不同源的指令碼採用非同步方式進行有限的通訊，可以實現跨文字檔、多視窗、跨域訊息傳遞，多用於頁面與巢狀的iframe訊息傳遞