一、背景近期腾讯安全威胁情报中心检测到多个企业受到以PPT文档为诱饵文档的钓鱼邮件攻击。这些钓鱼邮件投递的PPT文档包均含恶意宏代码，宏代码会启动mshta执行保存在pastebin上的远程脚本代码...

安全资讯[法规]  网络安全审查办法https://mp.weixin.qq.com/s/nAjbLxdDnflhc_89y0e01Q安全技术[Web安全]  2020攻防演练弹药库https://blog.riskivy.com/2020%E6%94%BB%E9%98%B2%E6%BC%94%E...

近日新基建、数字新基建的标题到处飞，几天前信通院发表了一篇《“新基建”数据中心能否摘掉“能耗大户”的帽子？》的文章。文中指出：“从各类数据的表面来分析，数据中心无疑是“能耗大户”。...

一、背景 这是一篇 4 月份复现 LiferayPortal rce（CVE-2020-7961）漏洞时的笔记，当时忙着做渗透没空整理，现在发出来就当是学习 JODD 反序列化的记录吧，里面 2 个 Gadget com.mchange.v...

从了解到修复 Navex, 其中花了一年多, 从对自动化代码审计一无所知到学习PL/Static Analysis, 翻阅十几年前的文档, 补全Gremlin Step, 理解AST, CFG, DDG, PDG, CPG, ...

近期，以色列安全公司cyberark通过Microsoft Teams的子域名劫持漏洞结合GIF图片传播，可以针对使用Microsoft Teams的组织机构实现用户数据窃取和全部Teams账户劫持。该攻击场景下，用户只需浏览...

A.什么是CIS?        CIS是一个社区驱动的非营利组织，负责管理维护CIS Controls®和CIS benchmark™，全球公认保护IT系统和数据的最佳实践。CIS领导全球IT专业人士不断...

本文主要介绍OWASP核心规则集的两种配置模式。 OWASP规则的官方Github地址：https://github.com/coreruleset/coreruleset。 OWASP V3版本核心规则集目前支持两种配置模式： 异常评分模式（默认...

最新研究表明，在暗网中出售公司网络的访问业务非常火爆，与2019年第四季度相比，此类非法访问的广告在2020年第一季度增加了69％。 当您阅读有关针对一家大公司的勒索病毒攻击的新闻报道时，该...

本次代码审计的目标是zzcms的最新版本201910。下载地址为http://www.zzcms.net/about/6.htm。这次审计的主要范围是 /admin 默认后台管理目录（可任意改名） /user 注册用户管理程序存...