漏洞编号：CVE-2017-9805 漏洞作者：Man Yue Mo <mmo at semmle dot com> 影响版本：Struts 2.5 - Struts 2.5.12 漏洞等级：严重 漏洞简述：当启用 Struts REST的XStream handler去反序列化处理XML请求，可能造成远程代码执行漏洞。 漏洞描述： 当启用 Struts REST的XStream handler去反序列化处理一个没有经过 ... 全文 »

Burp Suite是一款信息安全从业人员必备的集 成型的渗透测试工具，它采用自动测试和半自动测试的方式，包含了: Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通 过拦截HTTP/HTTPS的web数据包，充当浏览器和相关应用程序的中间人，进行拦截、修改、重放数据包进行测试，是web安全人员的一把必备的瑞士军刀。 官方试用最新版新支持windows(.exe)直接安装 ... 全文 »

Ground-Control（GitHub传送门） 我这个GitHub库中托管的是我在服务器端所部属的一些安全增强脚本，它们可以检测SSRF（服务器端请求伪造），Blind XSS、以及XXE漏洞。目前本项目仍处于更新过程中，因为我现在还在收集相关的脚本。在使用这些脚本之前，我通常会重写脚本中的部分代码或通过netcat设置监听器。但这样做的灵活性就非常差了，因此我才决定将这些脚本都上传到一个代码库上，这样每当服务器需要使用某个脚本时，我们就可以直接从GitHu ... 全文 »

美国华盛顿，7月20日，美国司法部长杰夫·塞申斯在新闻发布会上表示，在一个被称为“里程碑式”的国际行动中，美国执法机构已将全球最大暗网交易网站AlphaBay关闭。同日，荷兰执法机构也宣布黑市交易网站Hansa被取缔，并逮捕了涉及的主要参与者，这表示全球暗网内最大的两个非法商品市场平台正式被移除。 What is “AlphaBay Market&暗网” 我们日常所用到的全部网站，都可以通过百度、谷歌等搜索引擎来搜索到，这样的网站被称之为表层网络， ... 全文 »

由于科幻小说的润色，人类越来越恐惧有一天智能机器人会“揭竿而起”，挑战人类的统治地位。但是，在自动化的时代，我们面临的更可能发生的潜在威胁，并不是这些模拟人类的小玩意儿正在不断发展自己的思想，而是一个真真正正的人类黑客会控制它们，实施攻击。 上周，在新加坡举行的Hack in the Box 安全会议（HITBSecConf）上，IOActive公司的安全研究人员Lucas Apa和Cesar Cerrudo展示了针对3大主流机器人所开发的黑客攻击技术，这3大机器人包括 ... 全文 »

你为什么使用 Linux? 回答集锦 oldwierdal：我用 Linux 是因为它运行快速、安全、可靠。在全世界的贡献者的参与下，Linux 或许已经成为当前我们能用到的最先进和最具创新的软件。Linux 的用户体验就像红丝绒蛋糕上的糖衣一样令人回味无穷;此外，Linux 是免费的。 Timothy Miller：我最开始使用 Linux 是因为它免费的，而且那时候我的经济条件无法承受购买新的 Windows 系统正版授权的费用。 ondo ... 全文 »