文章里不止标题一点，还有很多扩展分析，包括钓鱼站点完整分析和 opendir 的一批恶意文档。 背景回顾 海莲花作为老牌 APT 组织，其创新模式非凡，脑洞很大，如去年他们投放了一封邮件，当...

各位Buffer早上好，今天是2019年1月14日星期一。今天的早餐铺内容有：GoDaddy被发现其在托管的网站的所有网页嵌入了一个脚本；英国法律将要求所有色情网站在4月份开始验证用户年龄；幽灵病毒hAn...

最近斗哥在学习CORS的漏洞和相关的一些知识梳理，网站如果存在这个漏洞就会有用户敏感数据被窃取的风险。0x00 从浏览器的同源策略说起SOP，同源策略 (Same Origin Policy)，该策略是浏览器的一...

信息安全的75%发生在Web应用而非网络层。本文内容主要以Java Web安全-代码审计为中心展开。一、JavaWeb 安全基础1. 何为代码审计?通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序...

*本文作者：新希望鲜牛奶，本文属FreeBuf原创奖励计划，未经许可禁止转载。本文通过对Android源码中NFC部分的简单分析，实现了另外一种设置UID的方式，可用于部分场景下的门禁卡模拟。一、背景...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。*本文原创作者：xiaohan0x00，本文属FreeBuf原创奖励计划，未经许可禁...

引言   来自 UCSB 的团队 Shellphish，为参加 DARPA 举办的 CGC 竞赛，设计并实现了 CRS（Cyber Reasoning System）Mechaphish。该系统包含自动化漏洞挖掘模块 ...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。 核心点  1. 绕过程序中的条件 2. 绕过 csp 3. 创建...

0X00 背景写这篇技术文有两个诱因，一是大菲兄弟@大菲哥和朋友从国外买了一篇二十美刀的XSS文章，做了翻译，自古XSS和sql注入是倚天屠龙的对立统一关系，所以有朋友说想看一看sql注入的文章。二...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。*本文作者：0x4d69，本文属 FreeBuf 原创奖励计划，未经许可禁止转载...