让用户提交 Python 代码并在服务器上执行，是一些 OJ、量化网站重要的服务，很多 CTF 也有类似的题。为了不让恶意用户执行任意的 Python 代码，就需要确保 Python 运行在沙箱中。沙箱经常会禁用...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。*本文原创作者：熊猫正正，本文属于FreeBuf原创奖励计划，未经许可禁...

“不要因为一个网站在浏览器地址栏中有一个锁的标识或“https”就信任它。”6月10号，美国联邦调查局(FBI)就HTTPS网络钓鱼案件的上升发出了公开警告。几周前，Anti-Phishing Working Group发布...

一、情况概述1.1 情况拓扑由于运维过程中可能存在违规操作、过失操作或者防护能力不足导致被恶意操作使得主机遭受挖矿程序的侵害，该挖矿程序会下载恶意程序至WMI中，实现无文件挖矿和内网渗透...

一、CSRF漏洞简介csrf漏洞的成因就是网站的cookie在浏览器中不会过期，只要不关闭浏览器或者退出登录，那以后只要是访问这个网站，都会默认你已经登录的状态。而在这个期间，攻击者发送了构造好...

0x0前言反爬虫和爬虫之间的较量已经争斗多年，不管是攻还是守，已经持续N年，这是一个没有硝烟的战场，大家都知道爬虫和反爬之家的道高一尺魔高一丈的关系。但这个方案可以很大程度上可以增加普...

本文将向大家介绍如何在AIX和Power架构上运行Metasploit框架，这对于那些想要尝试在这些架构上运行Metasploit的人可能会有所帮助（至少目前我还没有在网上发现关于这方面的教程内容）。我已在我...

被人问到各种蜜罐的测评然后就想写一下各种开源蜜罐的测评报告，各种开源蜜罐地址可以在下面找到我也将按照里面的模板进行测评。https://github.com/paralax/awesome-honeypots/blob/master/REA...

0x00 前言渗透测试人员、红队以及恶意软件都在攻击中使用COM对象，遂参考多方资料对COM的恶意应用作一个小总结。“微软组件对象模型（Component Object Model，COM）是平台无关、分布式、面向对...

FreeBuf早报，安全圈值得关注的每日大事件 【全球动态】1.Facebook：在监管顾虑解决前不会推出天秤币【阅读原文】据路透社报道，Facebook周一表示，在监管顾虑得到解决前，不会推出其加密货...