Exchange漏洞分析(二):反序列化代码执行漏洞(CVE-2021–42321) 作者:雨夜微软公布了一个反序列化代码执行漏洞,CVE-2021-42321 ,经过身份认证的攻击者可以通过EWS 接口将payload 写入UserConfiguration 中,并通过GetClientAccessToken 触发payload 从而在目标服务器上执行代码。本篇通过对POC 的跟踪分析漏洞的利用过程。十一月 30, 2021
漏洞优先级厂商零零信安完成千万级天使轮融资,奇安基金独家投资 2021年11月,北京零零信安科技有限公司(以下简称“零零信安”)成功完成千万级天使轮融资,奇安基金独家投资,航行资本担任财务顾问。十一月 30, 2021
联合CTstack 安全社区,长亭“技术说”有奖征稿增加新玩法 3款工具免费用 xray社区版、rad 浏览器爬虫、牧云社区版工具使用地址:https://forum.xray.cool/ 注册即可免费使用~十一月 30, 2021
“信息安全与信息技术应用创新”产品展示会即将开幕 为深入推进国防网络信息安全建设,突出科技自立自强。由中国计算机用户协会信息安全分会和南方合和科技(北京)有限公司联合主办,北京融合致远科技有限责任公司协办的“信息安全与信息技术应用创新”产品展示会将于2021年12月10日起在北京召开。十一月 30, 2021
基于free5gc+UERANSIM的5G注册管理流程及安全服务分析 下 一、前言 随着5G的快速建设,5G的安全问题受到越来越多的关注。本篇作为《基于free5gc+UERANSIM […]十一月 30, 2021
通过反编译和机器学习检测恶意样本代码重用 DIMVA 2021很少有调查研究如何在大范围内自动检测和识别特定的高级攻击组织使用的恶意软件样本。此前,安全社区已经广泛研究了如何根据代码相似性检测未知攻击。最近,社区也开始探索使用现代机器学习方法来检测更复杂的恶意软件攻击,例如 APT。但现有方法不足以处理现代恶意软件中的代码重用和攻击归因。十一月 30, 2021
【伽玛】第七届“湖湘杯” Pastebin | 设计思路与解析 本题由zeddy师傅提供,赛后将该题的设计思路公开,供大家学习交流。本篇分为两部分,第一部分就是解题步骤,第二部分说一下出题过程、设计思路,以及一些不足之处。文末给出本题的附件,感兴趣的师傅们可以玩下。十一月 30, 2021
中国电子推出国资云蓝信工作群服务 12月1日,中国电子在北京奇安信安全中心召开发布会,针对近期工作群信息泄露事件频发, 发布了基于“国资云”中国电子云的蓝信工作群服务——全新升级的中电蓝信,基于中国电子云和蓝信全场景智能化安全协同平台Saas产品服务,为部委、央企、国企等大型组织机构提供没后门、有管理、可追溯及可审计的安全协同办公平台。十一月 30, 2021
第二届LINKUP+网络安全峰会正式启动! 2021年是“十四五”的开局之年,也是全面建设社会主义现代化国家新征程的开启之年。历经疫情此起彼伏的状况,网络安全形势更加严峻。为进一步响应国家对网络安全的重视,促进网络安全新发展,助力企业数字化转型,2021(第二届)LINKUP+网络安全峰会将于12月16日在南京盛大召开。十一月 30, 2021
云天百家第5期:5G专网安全风险与技术方案 文丨 中国移动集团信安中心,高工/博士,于乐 云天百家:中国的网络安全产业经历了多年发展,不断学习和模仿国际先进技术与模式,厚积薄发,已经到了探索独有发展道路的时候。中国的网络安全走向何方,需要众多专家各抒己见。“云天百家”希望为中国网络安全产业的百家争鸣提供一个平台,共同探索未来之路。十一月 30, 2021
终极福利进行中 |“找不同大挑战”即将倾情上演“壕礼硬送” 抽奖链接:PS端(14:30准时上线) 抽奖链接:手机端(14:30准时上线) 千呼万唤始出来!12 月1 [...]十一月 30, 2021
《Chrome V8源码》30.Ignition到底做了什么? 本篇文章是Builtin专题的第五篇,讲解Ignition解释Bytecode之前需要做的准备工作,这些工作由一系列Builtin共同完成,工作内容包括:构建堆栈、压入参数等。本文通过分析这一系列Builtin的工作流程,来了解Ignition为Bytecode做了哪些准备工作。十一月 30, 2021
信息搜集和密码利用的思路 本文结构如下 一 前言 我们在外网进行打点的时候,会发现现在的网站防护都很高,很难找到直接利用的漏洞。因此我们会将更多的精力放在企业邮箱,vpn以及供应商上,要突破这些,要么钓鱼要么爆破。信息搜集越丰富就越能为我们的爆破,钓鱼甚至猜密码提供巨大帮助。十一月 30, 2021
政策研究|关于金融科技安全的认识与思考 金融科技安全是国家安全的重要内容之一,保障金融科技安全发展,对于实施创新驱动发展战略和实现高质量发展发挥着重要作用。随着金融科技从 1.0 阶段发展到 3.0 阶段,金融科技安全 3.0 [...]十一月 30, 2021
12月1日每日安全热点 – ScarCruft组织监视朝鲜叛逃者和人权活动人士 漏洞 Vulnerability CVE-2021-3769: ohmyzsh 更新 https://nvd. […]十一月 30, 2021
联合CTstack 安全社区,长亭“技术说”有奖征稿增加新玩法 3款工具免费用 xray社区版、rad 浏览器爬虫、牧云社区版投稿还有稿费拿! 长亭“技术说”联合长亭社区启动全新征稿主题 写下你对这三款工具(任意一款即可)的使用探索及场景延伸, 丰厚稿费、增值大奖、社区金币奖励和成长激励 还有,高级版工具免费体验机会 (对,就是你们一直在要的xray高级版)十一月 30, 2021
Conference Talks – December 2021 This month, members of NCC Group will be presenting the […]十一月 30, 2021
Fighting Supply Chain Threats Is Complicated Relying on the kindness of strangers is not an ideal st […]十一月 30, 2021
工信部发布《“十四五”软件和信息技术服务业发展规划》(附解读) 工业和信息化部关于印发“十四五”软件和信息技术服务业发展规划的通知 工信部规〔2021〕180号 各省、自治区 […]十一月 30, 2021
360权威发布《2021年第三季度中国手机安全状况报告》 时代在进步,骗子的技术也在不断“改进“。俗话说“当你在凝视深渊时,深渊也在凝视你”,快节奏的生活让我们不断寻求新“刺激”,有些人能抵住诱惑,有些人则悄然打开了裸聊、博彩等黑灰产业的大门。十一月 30, 2021
Public Report – Zendoo Proof Verifier Cryptography Review During the summer of 2021, Horizen Labs engaged NCC Gro […]十一月 30, 2021
“漏洞利用之王”HolesWarm挖矿木马新增大量攻击模块强势来袭 概述 近期,威胁情报团队在活跃家族监控中捕获到了HolesWarm挖矿家族的最新变种。在本次更新中,该病毒家族 […]十一月 30, 2021
“漏洞利用之王”HolesWarm挖矿木马新增大量攻击模块强势来袭 概述 近期,威胁情报团队在活跃家族监控中捕获到了HolesWarm挖矿家族的最新变种。在本次更新中,该病毒家族 […]十一月 30, 2021
xray 终极反制实践 作者:Koalr 原文链接:https://koalr.me/posts/core-concept-of-yarx/xray 得益于 Go 语言本身的优势,没有那么多不安全的动态特性,唯一动态是一个表达式引擎(CEL),用的时候也加了各种类型校验,和静态代码没有什么区别了,因此基本不可能实现 RCE [...]十一月 30, 2021
如何使用Spring将Java单元测试扩展到组件 使用Spring测试流时,您将特定的业务逻辑流(即用户故事)视为单元,这意味着来自不同层的负责特定流的多个类可能会一起进行测试。但是,被测对象可能依赖于其他对象。它可能需要与数据库交互、与邮件服务器通信或与 Web 服务或消息队列通信。所有这些服务在单元测试期间可能不可用,因此应该被模拟。十一月 30, 2021