■ 北京大學軟體工程國家工程研究中心  張世琨 馬森 高慶 孫永傑 由於軟體應用範圍不斷擴大，軟體安全已經不限於虛擬空間，直接威脅到物理空間的安全，而且，供應鏈中的任何問題都會導致嚴重的危害。降低軟體安

摘要: 思科解決思科基礎許可證管理器中的SQL注入漏洞據悉，思科釋出了安全更新，以解決思科基礎許可證管理器（CiscoPrime License Manager）網頁框架程式碼中的安全漏洞，攻擊者可利用該漏洞

近年來，製造業和基建設施受到的攻擊日益增多——電力、天然氣、自來水，甚至核電裝置都受到了黑客多種的攻擊。不同於IT系統的安全問題，最大的威脅可能是商業業務的停滯以及資訊的洩露；OT環境一旦受到攻擊，就很有可能

Kubernetes 最近爆出特權升級漏洞，這是 Kubernetes 的首個重大安全漏洞。為了修補這個嚴重的漏洞，Kubernetes 近日推出了幾個新版本。 谷歌高階工程師 Jordan Liggit

本文主要針對的是我參加一個漏洞賞金計劃的過程中發現的NodeJS應用程式身份驗證繞過漏洞進行分析。我們將重點講述我所使用的方法，以便在遇到類似的Web介面（僅提供單一登入表單）時可以利用這種方法來尋找漏洞。

1、儲存型 XSS 儲存型XSS 是指應用程式通過Web請求獲取不可信賴的資料，在未檢驗資料是否存在XSS程式碼的情況下，便將其存入資料庫。當下一次從資料庫中獲取該資料時程式也未對其進行過濾，頁面

網路安全行業研究報告是掌握最新威脅的一種很好的方法，還能夠防止這些漏洞影響您對組織的控制。2018年11月釋出的研究涵蓋了IT風險的所有領域，包括身份、應用程式容器、漏洞披露以及全球威脅形勢本身。以下是本月釋出

前言 11月30日，萬豪酒店官方釋出訊息稱，多達5億人次預訂喜達屋酒店客人的詳細個人資訊可能遭到洩露。萬豪國際在調查過程中瞭解到，自2014年起即存在第三方對喜達屋網路未經授權的訪問，但公司直到2018年9

SINE安全公司在對phpcms2008網站程式碼進行安全檢測與審計的時候發現該phpcms存在遠端程式碼寫入快取檔案的一個SQL注入漏洞，該phpcms漏洞危害較大，可以導致網站被黑，以及伺服器遭受黑客的攻擊

11月30日，英國間諜機構政府通訊總部(GCHQ)及其資訊保安部門NCSC釋出了安全漏洞披露策略，概述了其是如何確定是否將漏洞追捕結果告知廠商的。 NCSC去年向微軟披露了 3 個漏洞，包括兩個 Wind

struts2從開發出來到現在，很多網際網路企業，公司，平臺都在使用apache struts2系統來開發網站，以及應用系統，這幾年來因為使用較多，被攻擊者挖掘出來的struts2漏洞也越來越，從最一開始S2-

圖片來源圖蟲：已授站長之家使用 站長之家(ChinaZ.com) 12月3日 訊息:近年來，校園貸問題越來越突出，不少學生為滿足虛榮心，貸款購買手機、名牌服飾等現象非常普遍。雖然我國已明令禁止校園貸，但一

含義 CSRF（Cross-site request forgery）跨站請求偽造，也被稱為“One Click Attack”或者Session Riding，通常

前言 近期，研究人員在WordPress的許可權處理機制中發現了一個安全漏洞，而這個漏洞將允許WordPress外掛實現提權。其中一個典型例子就是WooCommerce，該外掛是目前最熱門的一款電子商務外掛

*本文作者：cgf99，本文屬 FreeBuf 原創獎勵計劃，未經許可禁止轉載。 前言 近日收穫一個字尾名為doc的word文件，檢視後其實是rtf格式文件。在測試環境開啟後發現有網路連線和執行程