介绍在Noam Rotem和Ran Locar的领导下，vpnMentor的研究小组发现了一个属于美国通讯公司TrueDialog的不安全的数据库。TrueDialog为美国各大企业提供短信解决方案，而该数据库与他们业务的各个方...

网络攻击领域的“进步”一年比一年明显。自去年以来，全球安全研究人员发现了大量新对手，更多的攻击方法、更多的大规模攻击。新加坡网络安全公司Group-IB在近期发布的一份报告，描述了在2018年...

在过去的几周里，我和我的团队一直致力于Microsoft Azure和Microsoft OAuth 2.0相关的研究，并发现了一个漏洞，可导致微软Azure账户被接管。这和特定的Microsoft OAuth 2.0应用有关，攻击者可创...

在以前的NOSEC文章中，曾发布过一个在20个字符限制下进行XSS攻击（引入外界XSS脚本）的文章（https://nosec.org/home/detail/3206.html）。而本文作者对其中原理进行深入了研究，找到了更多相关...

近期，思科Talos的安全专家在GoAhead嵌入式Web服务中发现了两个漏洞，其中包括一个高危RCE漏洞。GoAhead可以说是世界上最流行的微型嵌入式Web服务器，由EmbedThis开发。它原本的定义为“紧凑、...

近期，SafeBreach的安全研究人员发现了卡巴斯基Secure Connection、趋势科技Maximum Security和Autodesk桌面应用的DLL劫持漏洞。攻击者可以利用这些漏洞进行DLL预加载、命令执行和非法提权。第...

近期，HackerOne安全研究人员无意中泄露出自己的会话cookie，导致外界用户可直接看到研究人员的秘密安全报告。这件事发生在上周，当时一名HackerOne研究人员和漏洞提交者（普通用户）正就一份漏...

史上被复制最多的StackOverflow Java代码片段其实存在bug。公开这件事的是代码本身的作者，Palantir的Java开发人员Andreas Lundblad，他是StackOverflow（编程开发相关的问题网站）排名最高的贡...

OpenBSD是一个以安全为目的而开发的开源操作系统，但近期却被曝出四个高危级别的漏洞，其中一个涉及BSD授权框架中的身份认证绕过。其他三个漏洞和非法提权有关，可让本地用户或某些恶意软件获得...

近期，有安全研究人员在发现了Linux、Unix系统上一个新的漏洞，可让攻击者劫持受影响设备上的VPN连接，将任意payload注入IPv4和IPv6的TCP数据流中。他们已向发行版Linux厂商和Linux内核安全团队...