*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。时光荏苒，距离MS08-067漏洞的出现已经过去十年了，与其它...

*文章原创作者：dawner，本文属于FreeBuf原创奖励计划，未经许可禁止转载研究漏扫这块儿有段时间了，虽然都是业余自己玩，但平素跟公司漏扫产品线打交道比较多，稍微有些心得，因此在这里...

2018年12月25日青莲云物联网安全漏洞库（IOTVD）正式上线访问地址：https://iotvd.qinglianyun.com IOTVD（IoT Vulnerability Database）是青莲云收集、整理、建立的物联网行业安...

原创：

日前，上海警方捣毁一个利用网上银行漏洞非法获利的犯罪团伙，据警方初步查证，马某利用黑客技术，长期在网上寻找全国各家银行、金融机构的安全漏洞。今年5月，他发现某银行APP软件...

原创：

业务逻辑漏洞探索之敏感信息泄露 本文中提供的例子均来自网络已公开测试的例子，仅供参考。近期，万豪酒店被爆近5亿客人的信息或泄露。近年来，用户隐私泄露事件时有发生，也不得不...

前言iOS URL Schemes，这个单词对于大多数人来说可能有些陌生，但是类似下面这张图的提示大部分人应该都经常看见： 今天要探究的就是：了解iOS URL Schemes、如何发现iOS URL Schem...

前言研究人员表示，网络犯罪分子目前正在利用一个热门WordPress插件中的安全漏洞来在目标站点中植入后门，并拿到网站的完整控制权。这个漏洞存在于WordPress插件-WP GDPR Compl...

随着互联网的普及，各类App如雨后春笋般产生。受限于代码质量，App中或多或少的会存在各类漏洞。据统计，CVE（http://cve.mitre.org/）及CNNVD（http://www.cnnvd.org.cn/）能够涵盖的漏...

背景360威胁情报中心在2018年11月29日捕获到两例使用Flash 0day漏洞配合微软Office Word文档发起的APT攻击案例，攻击目标疑似乌克兰。这是360威胁情报中心本年度第二次发现在...

12月4日上午，知识共享平台Quora在官网通告了一起数据泄露事件，称其系统受到恶意第三方侵入，约1亿用户数据泄露，包括用户姓名、电子邮箱地址、加密的密码、用户聊天信息等。Quora...

前言近期，研究人员在WordPress的权限处理机制中发现了一个安全漏洞，而这个漏洞将允许WordPress插件实现提权。其中一个典型例子就是WooCommerce，该插件是目前最热门的一款电子...

本文中提供的例子均来自网络已公开测试的例子，仅供参考。本期带来绕过验证漏洞。为了保障业务系统的安全，几乎每个系统都会存在各种各样的验证功能。常见的几种验证功能就包括...

phpcms2008远程代码执行漏洞 描述：近日，互联网爆出PHPCMS2008代码注入漏洞（CVE-2018-19127）。攻击者利用该漏洞，可在未授权的情况下实现对网站文件的写入。该漏洞危害程度为高危(...

概述 近期，360威胁情报中心监控到一系列针对巴基斯坦地区的定向攻击活动，而相关的恶意程序主要利用包含了InPage文字处理软件漏洞CVE-2017-12824的诱饵文档（.inp）进行投递，除此之...

原创：

0x01 前言 今天的这个CMS是FineCMS，版本是5.0.10版本的几个漏洞分析，从修补漏洞前和修补后的两方面去分析。文中的evai是特意写的，因为会触发论坛的防护机制，还有分页那一段的代...

0. 前言在Java反序列化漏洞挖掘或利用的时候经常会遇到RMI、JNDI、JRMP这些概念，其中RMI是一个基于序列化的Java远程方法调用机制。作为一个常见的反序列化入口，它和反序列化...

*本文原创作者：cgf99，本文属于FreeBuf原创奖励计划，未经许可禁止转载 一、事件背景在对服务器进行例行性检查的时候，在一台ngix服务器的日志文件access.log里面发现了一些奇怪的...

原创：

原创：

背景 2018年9月20日，360威胁情报中心在日常样本分析与跟踪过程中发现了一例针对韩国文字处理软件Hancom Office设计的漏洞攻击样本。通过详细分析发现，该样本疑似与APT组织“G...

原创：

1.1 分析环境准备IDE：PhpStormMetInfo版本：6.1.2Web环境：phpstudy集成环境PHP版本：5.4.451.2 漏洞概述漏洞类型：XSS漏洞危险等级：中CVE编号：CVE-2018-18374利用条件：该漏洞需要管...

原创：

原创：

原创：

原创：