10月18日，CCS大會進入到最後一天（19日還有一天的workshop議程），最近幾年的CCS都會把一些廣受關注的壓軸議題放到最後一天，今年的會議將傳統安全研究頗為關注的Web Security、B

meterpreter是一種高階、隱蔽、多層面的且可動態擴充套件的payload，可以將反射dll注入到目標主機的記憶體中，還可以在執行時動態載入指令碼和外掛來進行後滲透利用。 包括提權、轉存系統賬號、鍵盤

前言 2017年3月，ShadowBrokers放出了一份震驚世界的機密文件，其中包括兩個框架：DanderSpritz和FuzzBunch。 DanderSpritz完全由外掛組成，用於收集情報、利用

erbbysam和我最近打算挑戰一下HackerOne舉辦的最新的CTF比賽。本文是我們從開始到結束所採取的過程的記錄。 h1-5411 CTF以HackerOne釋出的推文作為一個開始： 點

背景 隨著網際網路的高速發展，資訊保安問題已經成為企業最為關注的焦點之一，而前端又是引發企業安全問題的高危據點。在移動網際網路時代，前端人員除了傳統的 XSS、CSRF 等安全問題之外，又時常遭遇網路劫持、

前情回顧 我們在2017年CCS特別報道中，專門提到：“本次CCS程式委員會主席絕密報告： 怎麼樣讓你的論文被國際頂級學術會議CCS 2018錄用 ！答案很簡單”，一年過去了，結果如何，答案

*本文原創作者：Aohanh，本文屬於FreeBuf原創獎勵計劃，未經許可禁止轉載 在滲透測試過程中，我們經常會遇到cookie得不到正確的利用，但是在一些框架中（比如PLAY、RACK），我們能

原生HttpSession解決叢集Session共享問題 實現SSO單點登入 在介紹本節內容之前，在這裡談談我接觸到的一些後端架構出現的問題 就在前兩天輔導員早上9點突然釋出一條選課通知，到中午12點之

前不久為大家介紹了安卓應用程式滲透測試checklist的第一部分，今天與大家分享第二部分。 M6—不安全的授權 為了測試設計存在問題的授權方案，測試員可以嘗試對移動app發起二進位制攻擊，在app

AMD銳龍強勢誕生以後，Intel就開始在各條產品線上圍追堵截，堆積越來越多的核心成為最大法寶，從工作站到桌面到筆記本莫不如此。 現在，九代酷睿將主流桌面市場帶入了8核心時代，接下來就該筆記本了。 經

去年推出面向主流市場的6核Coffee Lake處理器之後，英特爾也把它帶到了移動平臺，筆記本所用的低功耗及高效能處理器也隨之升級到了4核、6核架構，特別是4月份的釋出會上，英特爾還推出了酷睿i9-8950HK處理器

token 是一串字串，通常因為作為鑑權憑據，最常用的使用場景是 API 鑑權。 1. API 鑑權 那麼 API 鑑權一般有幾種方式呢？我大概整理了如下： cookie + session 和

背景 隨著網際網路的高速發展，資訊保安問題已經成為企業最為關注的焦點之一，而前端又是引發企業安全問題的高危據點。在移動網際網路時代，前端人員除了傳統的 XSS、CSRF 等安全問題之外，又時常遭遇網路劫持、

原文： http://www.hackingarticles.in/window-privilege-escalation-via-automated-script/ 大家都知

前言 估計你聽到“傳真機”這幾個字，都覺得它是個很古老的裝置，現在即時通訊裝置十分普遍，傳真機的使用環境已經非常的少了。但是在許多關於商務和法律的公司內，傳真機的使用率還是比較高的。不過由於傳真機的市場份額