ZONE.CI 全球网

漏洞 VulnerabilityCVE-2018-0710 QNAP Q’center产品存在SSH命令注入漏洞
http://t.cn/RgaIyuPCVE-

你的web应用是否能够防止XXE攻击
如果你的应用程序允许用户执行上传文件或者提交POST请求的操作，那么它就很可能容易受到XXE攻击。虽然说每天都有大量该漏洞

前言
我在职业生涯早期学到的一个教训是，技术专业人员通常会继承老问题。对于负责网络服务和安全的管理员来说尤其如此，因为他们继承了最大的问题：企业网络。随着网络的

点击下载：安全客2018年季刊-第二季
【文章传送门】安全客2018季刊-第二期，抽奖活动已结束（名单公布）
前面的话
昨天我们发布了安全客2018年季刊-第二

2015年5月，在Red Hat Enterprise Linux多个版本的DHCP客户端软件包所包含的NetworkManager集成脚本中发现了命令注入漏洞

概览
IDAPython是一个强大的工具，可用于自动化繁琐复杂的逆向工程任务。虽然已经有很多关于使用IDAPython来简化基本的逆向工程的文章，但是很少有关于

报告编号： B6-2018-071801
报告来源： 360-CERT
报告作者： 360-CERT
更新日期： 2018-07-180x00 漏洞描述
7月1

漏洞 VulnerabilityHadoop 敏感信息泄露漏洞
http://t.cn/RgCNoncGentoo中tqdm存在任意命令执行漏洞
http://

0x01 前言
上篇介绍了一般处理程序（ashx）的工作原理以及实现一句话木马的过程，今天接着介绍Web Service程序 （asmx）下的工作原理和如何实现

Magnitude EK是被使用时间最长的浏览器漏洞利用工具包之一。自2013年被创建以来，一直深受全球范围内勒索软件的喜爱。它最终还是走向了私有化，仅在相对固

写在前面的话
这些电子邮件据称是澳大利亚跨国公司MYOB的发票，该公司为中小企业提供税务，会计和其他商业服务软件。但实际上，这些信件包含一个下载DanaBot银

点击下载：安全客2018年季刊-第二季
【文章传送门】安全客2018季刊-第二期，抽奖活动正在进行中！
前面的话
7月17日，安全客2018季刊—第2季一经上线

前言
上次一篇文章讨论了编写进程注入payload时的一些问题。本文的目的是讨论将payload部署到目标进程的内存空间以便执行。我们可以使用传统的Win32

活动简介
JSRC漏洞评分规则6.0出炉啦！距离上次评分规则的更新已有一年，这一年来，我们将所有收集到的来自白帽子的反馈、争议进行整理分析，不断求取白帽子和同行

报名地址：https://realworldctf.com
活动简介
7月28日—29日，由长亭科技主办的国际CTF大赛Real World CTF即将上线。

CVE-2018-2894
漏洞影响版本：10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3
下载地址：http://download

漏洞 Vulnerability福昕阅读器中的 JavaScript 远程代码执行漏洞
http://t.cn/RgWeoPpSony Playstation

点击下载：阅读安全客2018季刊——第二季
点击下载：使用新版APP（3.0.3） 阅读季刊文章可参与抽奖
文末附本次抽奖活动中奖名单~~2017年年初，安全客

JSONP 教程
http://www.runoob.com/json/json-jsonp.html
Jsonp(JSON with Padding) 是 j

目前英国球迷们正热情地享受着英国队在世界杯上的表现，伴随着“Three Lions”的旋律在脑中不断回响，他们热切地盼望着英国队52年的悲痛历史可以在今年终结。

1. 前言
自2016年以来，我们一直在研究符号执行和二进制反混淆，以便：(1)测试和改进我们的二进制保护器(Epona) 。(2)改进我们的DSE（动态符号执

简介
360 Redteam在研究区块链项目过程中，发现某区块链项目API使用了Play Framework框架进行构建网站，我们对该框架进行审计后发现一处通用

写在前面的话
在最近的Web应用程序测试中，我发现了Security Assertion Markup Language（SAML）实现中的一个漏洞。这个漏洞涉

这篇文章介绍了一种又快又猥琐的方法，可以在Windows Scripting Host 中禁用AMSI，而不需要管理员权限或者修改注册表密钥/系统状态（比如De