ZONE.CI 全球网

环境搭建
代码下载：https://archive.apache.org/dist/ofbiz/
利用idea导入
具体搭建可参考：https://blog.c

0x00 前言
之前一直在学习V8方面的漏洞，对于asm.js层的UAF漏洞还是第一次接触，本文将详细分析Chrome Issue 776677漏洞以及其利用方

背景需求
使用frida逆向的同学免不了写frida脚本，相关frida语法肯定是要熟悉的。懒点的同学直接用objection生成。objection生成的脚本

1 前言
前些时间刚好看到一些缓存投毒相关的知识，搜了些资料，发现了安全顶会USENIX Security 2020上收录了一篇关于DNS缓存投毒的文章：Poi

介绍
“ Karta”是IDA的python插件，其功能是在已经编译过的二进制文件中搜索是否使用了开源的代码。该插件是为了匹配大体积二进制文件中的开放源代码库的

近日，360手机先赔收到多起用户反馈因虚假网游交易被骗，随着对案件的深入研究发现，相比于以往常见的网游交易诈骗手法，还融入了黑帽SEO的渗透站群技术，整体骗术上

漏洞 VulnerabilityPwn2Own 2021大会上曝出Exchange存在未授权代码执行漏洞
https://twitter.com/thezdi/

简介
在glibc2.29以上版本，glibc在unlink内加入了prevsize check，而通过off by null漏洞根本无法直接修改正常chunk

在一次排查系统的驱动的目录system32/driver目录文件时，看到一个名字为ProcLaunchMon.sys的驱动
数字签名微软官方的该驱动带入的时间是

0. 前言
Xstream是java中一个使用比较广泛的XML序列化组件，本文以近期Xstream爆出的几个高危RCE漏洞为案例，对Xstream进行分析，同时

0x01   漏洞简述
2021年04月08日，360CERT监测发现Cisco官方发布了SD-WAN vManage多个漏洞风险通告，此次通告的漏洞编号分别为

0x01   漏洞简述
2021年04月08日，360CERT监测发现Cisco发布了Unified系列组件的风险通告，漏洞编号为CVE-2021-1362，漏

0x01   漏洞简述
2021年04月08日，360CERT监测发现Cisco发布了Cisco Small Business RV Series Router

前言
本次渗透通过某处SQL注入点进行源码分析，并手工利用xp_cmdshell进行了命令执行。初现
在某个晴朗夏日午后，闲来无事想测试，这不，马上就掏出xra

WEB签到
题目来源是一个新闻，https://sourl.cn/tuYCCf
可以得知我们通过
所以直接user-agentt: zerodiumsystem

第77期你好呀~欢迎来到“安全头条”！如果你是第一次光顾，可以先阅读站内公告了解我们哦。
【安全头条公告】
安全头条主要发布时下最火热最新鲜的网安资讯，不同于正

写在前面的话
我个人的安全研究方法，就是去尝试奇怪的东西，然后看看会发生什么。现代软件中通常会存在大量的漏洞，工程团队通常必须根据每个漏洞影响的用户数量来确定漏

现在的CTF比赛，WebPwn题目越来越常见，本篇文章目标为WebPwn入门学习。将会介绍Webpwn环境搭建，以及分别以一道栈溢出题目和一道堆题，讲解Webp

事件背景
Force DAO 是 DeFi 投资策略的去中心化自治组织，致力于在 DeFi 世界识别 alpha，Force 以 DAO 的方式，致力于通过遵循

报名地址：https://www.wenjuan.com/s/UZBZJvWREn/?user=SHXJRFKSYS&repeat=1活动介绍
4月15日，业务

活动地址：https://quake.360.cn/quake/#/member活动介绍
360Quake推出上线以来首个用户激励计划：“当红蓝对抗遇上空间测绘

漏洞 VulnerabilityCisco SD-WAN vManage发布多个高危漏洞通告
https://cert.360.cn/warning/detai

RSA的基本内容(如果对RSA很了解的话，可以跳过这部分）RSA的常用参数：p,q,n,e,d,phi,c,m
p,q为两个大素数
n=p*q
e*d ≡1 (

作者：唐银@涂鸦智能安全实验室
一、etcd简介
etcd是一个具有强一致性的分布式 key-value 存储组件。采用类似目录结构的方式对数据进行存储，仅在叶

作者：閦蠱@Duncan SecTeam
0x.00.引言
《孙子兵法》云“军争之难者，以迂为直，以患为利”。这句话所蕴含的哲理是：进攻时，直奔最终目的而去未必