ZONE.CI 全球网

背景：
基于现阶段红蓝对抗强度的提升，诸如WAF动态防御、态势感知、IDS恶意流量分析监测、文件多维特征监测、日志监测等手段，能够及时有效地检测、告警甚至阻断针

0x01 事件导览
本周收录安全事件 40 项，话题集中在 网络攻击 、 勒索软件 方面，涉及的组织有： SolarWinds 、 美国能源部 、Microso

背景
“蔓灵花”（BITTER）是一个长期针对中国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击，窃取敏感资料，具有较强的政治背景的APT组织。
该组织活动

最近一段时间,部门的小伙伴们看了一些HTTP协议相关的攻击方法，现做一个汇总。
由于内容比较多，分上下两部分进行发布。
上半部分：https://www.anq

一、原理（一）概述
前面我们提到， CVE-2015-4852往后有一系列漏洞都是立足于对其补丁的绕过的，CVE-2017-3248也是其中之一。
WebLog

OWASP中国官网：http://www.owasp.org.cn活动简介
OWASP是一个501c3非盈利的全球组织，致力于应用软件的安全研究。我们的使命是使

作者：知道创宇@heige
钱钟书先生的《围城》有句名言“外面的人想进去，里面的人想出来”本来是说婚姻的，但是在我看来在某些技术产品领域也比较适合，比如今天我要

漏洞 VulnerabilityCVE-2020-35606 Webmin命令执行漏洞
https://www.pentest.com.tr/exploits/

前言
无事就翻翻大师傅们的博客，然后看到了一篇关于Stegosaurus隐写的，然后延伸到Python的import模块导入等部分知识。 于是开始学习延伸更多。

LibFuzzer workshop学习之路（二）
上一篇对libfuzzer的原理和使用有了基本的了解，接下来就到进阶的内容了，会涉及到字典的使用，语料库精简

写在前面
因为工作中遇到了这个洞，简单了解后发现正好是py的源码，因此想依据前辈的分析做一下简单的代码分析，找到漏洞点。网上已经有很多类似的文章，这里只是自己做

前言
无论是红队项目还是渗透项目，打点的过程总是充斥着不确定性的，在一个攻击面上充满着各种可能性，每一个对外开放的服务都可能成为我们进入内网的通道，随着每个人关

零信任是由Forrester Research的分析师John Kindervag在2009开发，并在2010年正式提出的。在过去的10年间，随着云计算、移动互

第60期你好呀~欢迎来到“资讯充电站”！小安就是本站站长。今天第60期如约和大家见面了！如果您是第一次光顾，可以先阅读站内公告了解我们哦。
【站内公告】本站主要

活动简介
VK SRC今年最后一场重！磅！活！动！
师傅们快来康康！活动时间
活动时间：2020年12月21日-12月31日活动范围
漏洞提交地址：securi

漏洞 VulnerabilityFreeBSD ftpd chroot 本地提权漏洞分析（CVE-2020-7468）
https://www.zerodayi

前言
针对不同平台/语言下的命令执行是不相同的，存在很大的差异性。因此，这里对不同平台/语言下的命令执行函数进行深入的探究分析。
文章开头会对不同平台(Linu

前言
先说说2020_n1CTF的web题Easy_tp5复现问题。
这个题在保留thinkphp的RCE点的同时，并且RCE中ban掉许多危险函数，只能允许单

事件背景
近日，全球最著名的网络安全管理软件供应商SolarWinds遭遇国家级APT团伙高度复杂的供应链攻击并植入木马后门[1][2]。该攻击直接导致使用了S

根据国外媒体的最新报道，欧洲刑警组织和欧盟委员会已经启动了一个新的解密平台。可能很多人都清楚，在警察针对某些刑事案件的调查过程中，有可能会涉及到从加密媒体介质中

0x00 前言
前面讲了FastJson的相关漏洞，温少属实辛苦。这次来看下另一种JSON解析库：“世界上最好的JSON解析库—Jackson”，并以CVE-2

在上一篇文章中，我们讨论了fuzzer是如何确定崩溃的唯一性的。在本文中，我们将为读者介绍如何通过手动方式对崩溃进行分类，并确定导致漏洞的根本原因。为此，我们将

NSO Group，当今网络军火商顶流，坐拥各类通信软件0day漏洞，喜好将这类漏洞打包成攻击套件以千万为单位将其售卖给一些富得流油或者刚好缺0day漏洞武器的

Xstream 是 Java 类库，用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件，允许在 BSD 许可证的许可下分

2020年11月，知道创宇404实验室正式推出星链计划2.0。通过星链计划核心社群成员作为核心，筛选优质、有意义、有趣、坚持维护的开源项目加入星链计划2.0，由