ZONE.CI 全球网

0x01事件简述
2021年03月15日，360CERT监测发现Xstream官方发布了Xstream 安全更新，漏洞等级：高危，漏洞评分：8.8。
POC已经

前言：
做CTF题时经常会遇到各种php弱类型和一些函数的绕过方法，由于知识比较零碎，就总结一下我所遇到的，也方便自己以后观看。0x00:Hash比较缺陷
PH

2月26号，那是一个风和日丽的夜晚，我看着电脑，电脑看着我。群里的大佬突然就甩了一个saltstack 未授权任意文件写入的poc，告诉我后面还有个RCE。我看

官网：https://security.meituan.com活动简介
春光渐好
正是挖洞好时光
美团SRC喊你来交洞啦
凡符合要求的漏洞
单个漏洞奖励3w起

Inspired by 360CERT
恶意软件 Malware
钓鱼网站纷纷加入JS虚拟机检测
https://www.bleepingcomputer.co

概述
这个故事要从我们之前的一个老项目开始说起，当时我们的任务是验证业务应用程序如何处理事务的数字签名，以判断应用是否遵守相关的安全原则。
这个应用程序使用了R

0x00 前言
在撰写 CVE-2021-3129 Laravel Debug mode RCE 漏洞分析的文章时，漏洞原作者在文章最后提出了利用 ftp 与

1. 背景
2021年刚过完春节，暗影实验室就发现了几个针对印度投放的移动端木马，这些木马从代码结构，到主控地址，到安装名称，再到针对的对象都是极其相似，这是一

事件概述
根据国外媒体的最新报道，近日，美国司法部（DOJ）正式起诉了聊天信息加密公司Sky Global的首席执行官和其公司的一名合伙人，并指控他们出售自己的

(文末有福利活动~)
提起“黑客”，你会想到什么？今年两会，全国政协委员、360集团创始人周鸿祎提交了一份关于网络安全行业特殊人才的提案：
第一，要制定专门的网

一、原理（一）概述
Weblogic 的反序列化RCE漏洞 CVE-2020-14645，是对 CVE-2020-2883的补丁进行绕过。
CVE-2020-2

ysoserial 工具的CC3和CC4链是CC1和CC2 链的扩展链，触发过程与前两个链大致相同，主要是命令执行部分有所变化。借着这两个链的学习，巩固下前面两

第71期你好呀~本期“资讯充电站”全新升级，今后将以【安全头条】为名，站长小安将继续为大家奉上新鲜、实时、有趣的安全热点！如果您是第一次光顾，可以先阅读站内公告

前言
OpenZeppelin 设计的关于 DeFi 的八道题目，做起来挺有意思的，特定分享一下解题过程，挑战地址：https://www.damnvulner

网站链接：https://live.bilibili.com/h5/8697900活动简介
企业安全建设是企业发展的基石，伴随业务发展的整个生命周期。
3月26

前言
Java反序列化利用链一直都是国内外研究热点之一，但当前自动化方案gadgetinspector的效果并不好。所以目前多数师傅仍然是以人工+自研小工具的方

0x01漏洞简述
2021年03月18日，360CERT监测发现GitLab官方发布了GitLab 代码执行的风险通告，漏洞等级：严重，漏洞评分：9.9。
未经

1.本文一共2158个字 39张图 预计阅读时间14分钟
2.本文作者erfze 属于Gcow安全团队复眼小组 未经过许可禁止转载
3.本篇文章是CVE-201

前言
分享一下比赛中除了Deterministic Heap之外的六五道题。d3dev & d3dev_revenge
一道简单的qemu pwn，很适合入门，

经过近几年游戏市场的变迁，手游在以难以想象的速度发生着巨变。同时手游本身的安全风险也逐渐暴露出来。无恒实验室也在承担着手游安全评审的相关工作，上期我们分享了游戏

第72期你好呀~欢迎来到“安全头条”！如果你是第一次光顾，可以先阅读站内公告了解我们哦。
【安全头条公告】
安全头条主要发布时下最火热最新鲜的网安资讯，不同于正

我们知道，要想对flutter应用程序的发布版本进行逆向分析是一件非常困难的事情，原因主要有两个，一是缺乏相应的工具，二是flutter引擎本身也经常发生变化。

1.区块链应用于政务
党的十九届四中全会《决定》把推进全国一体化政务服务平台建设作为完善国家行政体制、创新行政管理和服务方式的关键举措，是推进国家治理体系和治理

这道题比赛的时候，只有三支队伍做出来，其实只要把程序逻辑分析透彻，这道题并不是很难。所以现在放一下这道题题解。程序逻辑case 1:NoteStorageImp