前言 在前一陣，Spark官方釋出了標題為《CVE-2018-17190: Unsecured Apache Spark standalone executes user code》的安全公告。 公告中

什麼是 XSS 一、XSS 什麼是 XSS XSS，即 Cross Site Script ， 翻譯過來就是 跨站指令碼攻擊；為了和 css 有所區分，因而在安全領域被稱為 XSS。 什麼是

*本文作者：小紈絝，本文屬 FreeBuf 原創獎勵計劃，未經許可禁止轉載。 ThinkPHP 5.0 版本是一個顛覆和重構版本，也是ThinkPHP 十週年獻禮版本，基於 PHP5.4 設計（完美支援

雖然說都已經 9012 年了，安全從業者的日常依舊離不開各種工具的輔助。在 2018 年安全工具盤點的基礎上 ，我們今年再增加一些免費或開源工具，供讀者參考。其中有很多都經過專業人士的試用與推薦。

各位Buffer早上好，今天是2019年1月24日星期四。今天的早餐鋪內容有：Adobe修復了Experience Manager中可能導致資訊洩露的XSS漏洞；Linux APT包管理器中的嚴重缺陷可能導致遠

隨著視訊遊戲行業的持續膨脹，Valve的Steam平臺仍然是遊戲玩家們的熱門市場之一，在某種程度上，這也成為了黑客們攻擊目標。最近眾測社群披露的一個Steam客戶端漏洞，就能讓攻擊者在Steam使用者的

最近TP被爆出三個RCE，最近想跟著大佬們寫的文章，把這幾個洞分析一下，這裡是 5.0.0~5.0.23 的RCE。官方補丁地址： https://github.com/top-think/framework

轉載請註明出處並附上源連結版權所有，侵權必究 我們專注漏洞檢測方向：danenmao、arnoxia、sharker、lSHANG、KeyKernel、BugQueen、zyl、隱形人真忙、oxen

微軟的 Exchange 先前被爆出存在 SSRF 漏洞，漏洞編號為： CVE-2018-8581 。此漏洞先前被公開的利用方案可導致攻擊者在擁有目標網路一個郵箱許可權的情況下接管網路內任何人的收件箱

⼀、2018 年網路空間安全總體形勢 ⽹絡安全的發展，離不開攻防之間的對抗。如果說⼤型漏洞爆發後的安全應急是和時間賽跑，那麼 2018 年這種賽跑已經進⼊了⽩熱化的階段。 在過去的⼀年內，《推進互聯⽹

說到 Web 安全，我們前端可能接觸較多的是 XSS 和 CSRF。工作原因，在所負責的內部服務中遭遇了SSRF 的困擾，在此記錄一下學習過程及解決方案。SSRF（Server-Side Request For

前言 在上週，以太坊準備進行君士坦丁堡硬分叉的前一日被披露出來了一則漏洞，該漏洞由新啟動的 EIP 1283 引起， 漏洞危害準確的說應該是一種可能會讓一些合約存在重入漏洞的隱患，而不是一定會使合約產生重

最近在閱讀安全類文章時看到有同學分享如何利用excel進行XXE攻擊，閱讀後發現一些模糊的利用方式。由於漏洞場景非常常見，讓我十分感興趣，並決定一探究竟。注意本文驗證僅用於學習與研究，請勿非法利用。 背景知

美國DARPA“配置安全”專案分析 作者：齊義勝 2017年11月，美國防部高階研究計劃局（DARPA）資訊創新辦公室（I2O）釋出“配置安全”（Configuration Security, ConS

這兩天關於以太坊延遲君士坦丁堡升級的報導鋪天蓋地，可惜到現在都沒看到一篇能把這個漏洞講透徹的，就由我來給大家解密吧。 上一篇文章給大家介紹過EIP 1283，是為了優化SSTORE指令的gas計算方式的，這