原创： 2Y!0 合天智汇闲聊 经常听到有老铁在群里说面对各种src站点无从下手，没有思路，望眼欲穿，辗转反侧。而我是游走在夹缝中的捡漏小徒弟，从没有挖过严重，高危也只是偶尔，但是低...

又到了金三银四跳槽季，很多小伙伴都开始为面试做准备，今天小编就给大家分享一个网安常见的面试问题：PHP反序列化漏洞。虽然PHP反序列化漏洞利用的条件比较苛刻，但是一旦被利用就...

t-img 合天智汇 安全预警 2019年1月8日，Jenkins官方发布了一则ScriptSecurity and Pipeline插件远程代码执行漏洞的安全公告，漏洞CVE编号为：CVE-2019-1003000，官方定级为高危。...

背景 2019年2月22日，360威胁情报中心截获了首个[1]利用WinRAR漏洞（CVE-2018-20250）传播木马程序的恶意ACE文件。并提醒用户务必对此高危漏洞做好十足的防护措施。正如我们的预...

 Yale 合天智汇01漏洞背景2019 年2 月 20日 @NadavGrossman 发表了一篇关于他如何发现一个在WinRAR 中存在19 年的逻辑问题以至成功实现代码执行的文章。WinRAR 代码执行...

WinRAR可能是目前全球用户最多的解压缩软件，近日安全团队发现并公布了WinRAR中存在长达19年的严重安全漏洞，这意味着有可能超过5亿用户面临安全风险。 该漏洞存在于所有WinRA...

1月20日，微博大V @互联网那些事 爆料，拼多多百元通用优惠券的营销推广出现重大漏洞，无论新老用户，都可以0.4元优惠券购买无门槛、不限品类使用的通用优惠券。近日半夜被羊毛党...

前几天360冰刃实验室的研究员洪祯皓发现了一个Hyper-V的漏洞，由于漏洞危险级别高，影响范围广，微软在确认漏洞细节后第一时间确认奖金并致谢漏洞发现者。奖金总额高达20万美元约...

继去年12月10日爆出任意代码执行漏洞后，创宇盾网站安全舆情监测平台于近日发现ThinkPHP5再次出现任意代码执行漏洞。目前，已发现境外黑客对国内政府、企业等网站进行探测，请相...

i春秋作家：yuxiaoyou123本人文学功底较差，只会挖洞，所以此文章的内容除了干货还是干货，如果你看完了还是不会挖ssrf，那可以来找我前言       什么是ssrfSSRF(Server-Side Req...

正值年终岁末，各位职场人士最关心的就是年终奖了，听说有人拿了137万的“年终奖”，来了解一下~~~ 360冰刃实验室研究员洪祯皓发现了一个Hyper-V的漏洞，由于漏洞危险级别高，影响范...

由中国西北大学房鼎益、陈晓江教授团队联合北京大学、英国兰卡斯特大学研究发现，网站上看似复杂的文本验证码存在“巨大安全漏洞”，大多数可被人工智能破解。这一成果发布于近...

上个月，上海警方抓捕了一个利用网上银行漏洞非法获利的犯罪团伙，该团伙利用银行App漏洞非法获利2800多万元。 据悉，该团伙使用技术软件成倍放大定期存单金额，从而非法获利。理财...

原创：

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。时光荏苒，距离MS08-067漏洞的出现已经过去十年了，与其它...

*文章原创作者：dawner，本文属于FreeBuf原创奖励计划，未经许可禁止转载研究漏扫这块儿有段时间了，虽然都是业余自己玩，但平素跟公司漏扫产品线打交道比较多，稍微有些心得，因此在这里...

2018年12月25日青莲云物联网安全漏洞库（IOTVD）正式上线访问地址：https://iotvd.qinglianyun.com IOTVD（IoT Vulnerability Database）是青莲云收集、整理、建立的物联网行业安...

原创：

日前，上海警方捣毁一个利用网上银行漏洞非法获利的犯罪团伙，据警方初步查证，马某利用黑客技术，长期在网上寻找全国各家银行、金融机构的安全漏洞。今年5月，他发现某银行APP软件...

原创：

业务逻辑漏洞探索之敏感信息泄露 本文中提供的例子均来自网络已公开测试的例子，仅供参考。近期，万豪酒店被爆近5亿客人的信息或泄露。近年来，用户隐私泄露事件时有发生，也不得不...

前言iOS URL Schemes，这个单词对于大多数人来说可能有些陌生，但是类似下面这张图的提示大部分人应该都经常看见： 今天要探究的就是：了解iOS URL Schemes、如何发现iOS URL Schem...

前言研究人员表示，网络犯罪分子目前正在利用一个热门WordPress插件中的安全漏洞来在目标站点中植入后门，并拿到网站的完整控制权。这个漏洞存在于WordPress插件-WP GDPR Compl...

随着互联网的普及，各类App如雨后春笋般产生。受限于代码质量，App中或多或少的会存在各类漏洞。据统计，CVE（http://cve.mitre.org/）及CNNVD（http://www.cnnvd.org.cn/）能够涵盖的漏...

背景360威胁情报中心在2018年11月29日捕获到两例使用Flash 0day漏洞配合微软Office Word文档发起的APT攻击案例，攻击目标疑似乌克兰。这是360威胁情报中心本年度第二次发现在...

12月4日上午，知识共享平台Quora在官网通告了一起数据泄露事件，称其系统受到恶意第三方侵入，约1亿用户数据泄露，包括用户姓名、电子邮箱地址、加密的密码、用户聊天信息等。Quora...

前言近期，研究人员在WordPress的权限处理机制中发现了一个安全漏洞，而这个漏洞将允许WordPress插件实现提权。其中一个典型例子就是WooCommerce，该插件是目前最热门的一款电子...

本文中提供的例子均来自网络已公开测试的例子，仅供参考。本期带来绕过验证漏洞。为了保障业务系统的安全，几乎每个系统都会存在各种各样的验证功能。常见的几种验证功能就包括...

phpcms2008远程代码执行漏洞 描述：近日，互联网爆出PHPCMS2008代码注入漏洞（CVE-2018-19127）。攻击者利用该漏洞，可在未授权的情况下实现对网站文件的写入。该漏洞危害程度为高危(...

概述 近期，360威胁情报中心监控到一系列针对巴基斯坦地区的定向攻击活动，而相关的恶意程序主要利用包含了InPage文字处理软件漏洞CVE-2017-12824的诱饵文档（.inp）进行投递，除此之...