网站一张图……

网站一张图……

ret2shellcode，也就是return to shellcode，在执行完某个函数之后，跳到shellcode上，达到get shell的目的。

随着国家发改委对新型基础设施的范围的明确，“新基建”一词可预见地会成为2020年的核心关键词之一。

IDC发布的《人工智能基础架构市场（2019下半年）跟踪》报告显示，2019年人工智能基础架构市场规模达到20.9亿美元，同比增长58.7%。

OpenVAS（Open Vulnerability Assessment System）是在nessus基础上发展起来的一个开源的漏洞扫描程序，其核心部件是一套漏洞测试程序，可以检测远程系统和应用程序中的安全问题。

随着过程控制自动化的发展，自动化系统厂商希望能够集成不同厂家的不同硬件设备和软件产品，各家设备之间实现互操作工业现场的数据能够从车间级汇入到整个企业信息系统中。正是基于这种需要产生了OPC标准。

重大漏洞或安全事件的分析及复现、漏洞挖掘分析类前沿技术或工具科普分享、CTF、逆向分析、渗透测试、web安全、工控安全、代码审计...只要议题的内容足够吸引人，统统抛过来，FreeTalk的舞台属于你。

随着企业上云、5G落地、物联网设备激增，网络爆炸式发展，网络流量海量化、复杂化成为常态，如何识别、监测、分析网络流量成为重要研究方向和企业关注热点。

Inhale是一款针对恶意软件的分析与分类工具，广大安全研究人员可以利用Inhale来对恶意软件中的很多的静态分析操作进行自动化实现以及扩大覆盖范围。

近期Check Point研究人员发现大规模恶意邮件攻击活动，其主要针对80多家土耳其公司。恶意软件使用了不同的方法来绕过目标安防机制。

Nexus Repository Manager 3最近曝出两个el表达式解析漏洞，编号为CVE-2020-10199，CVE-2020-10204，都是由Github Secutiry Lab团队的@pwntester发现。

安全公司McAfee的一份新研究发现，在新型冠状病毒疫情期间，针对微软远程桌面协议(RDP)的攻击数量显著增加，并且发现被盗的RDP证书中有52%来自中国用户。

随着工业 4.0 的高速发展，工业自动化程度越来越高，但工控设备暴露在公网的情况也越发明显。而其中尤其以PLC最为明显，这些PLC设备的来源多为国外厂商，安全变得不可控。

微信扫描二维码登录网站，相信很多网站登录中都有这个功能。但是这个功能使用不当，将会出现劫持漏洞。

COVID-19使许多公司员工利用RDP远程桌面办公，员工可以远程访问公司内部资源，远程与系统进行通信。为了维持业务连续性，许多组织对安全的要求降低，使攻击者有机可乘。

为了回报安全社区，我们发布了我们内部使用和开发的最先进的网络可视化和漏洞报告工具“Envizon”。我们希望您的反馈将有助于改进和进一步完善Envizon的功能。

该篇Writeup介绍了作者通过TURN服务器的中继作用，实现对Slack的内部网络和AWS元数据资源的访问。文中涉及到了STUN、TURN协议和WebRTC知识。

近期奇安信病毒响应中心在日常监测中，发现了一批针对中国、越南、马来西亚等国用户的钓鱼APP。

ret2dl_resolve是linux下一种利用linux系统延时绑定机制的一种漏洞利用方法，其主要思想是利用_dl_runtime_resolve()函数写GOT表的操作。

2020年伊始，一场突如其来的疫情给各行各业都按下了「慢放」键，也因此让我们有了更充分的时间来总结思考2019年的行业形势。在平稳迈过疫情这道坎的同时，为2020年接下来的发展积蓄动力。

主要研究和分析一下在PHP5和PHP7下mtrand/mtsrand和rand/srand函数的特性, 从中找到一些结论, 方便后面对算法的分析与评估。

2020年勒索病毒攻击比以往都来的更猛了一点，各种不同的勒索病毒黑客组织都似乎加大了这方面的投入，而且又有一些新的黑客组织加入进来，导致现在勒索病毒攻击越来越频繁了。

REST即表述性状态传递（英文：Representational State Transfer，简称REST）是一套新兴的WEB通讯协议，访问方式和普通的HTTP类似，平台接口分GET和POST两种请求方式。

“我，美国总统特朗普，最近发现某些外国对手正在加紧利用美国大功率电力系统（BPS）中的漏洞开展攻击，而这些大功率电力系统是国防、关键基础设施、经济、民生等领域重要的支持设设备。”

负责将 IP 地址分配给非洲企业和其他组织的非盈利组织的高管被控告秘密经营着几家不同的公司，通过这些公司向他人出售了价值数千万美元的 IP 地址资源。

最近，深信服安全团队捕获到SystemdMiner挖矿木马最新变种，该家族在2019年被首次发现，起初因其组件都以systemd-命名而得名。

追溯至网络通信安全起始之初，数据安全人员就不得不面对证书使用这一挑战。网页证书是传输层安全通信的基础，增加了网络站点连接的安全性，通常显示为“https”中的“s”。

纽约一知名娱乐法律事务所遭到勒索软件攻击后，数十位全球大牌音乐和电影明星（包括Lady Gaga、Elton John、Robert DeNiro和麦当娜）的私人法律事务面临曝光的风险。

推动SDL流程控制不仅仅是符合等保要求，在工作中落实SDL还能控制安全成本，提高产品上线质量和速度，保障业务安全。

Zeek (Bro) 是一款大名鼎鼎的开源网络安全分析工具。通过 Zeek 可以监测网络流量中的可疑活动，通过 Zeek 的脚本可以实现灵活的分析功能，可是实现多种协议的开相机用的分析。

针对一台设备的攻击可能会造成灾难性安全事件。

“我们已经成功入侵微软的GitHub私人储存库，并从中窃取了500GB的数据，本来打算再暗网上出售的，现在改变主意了，打算免费发布。”

FireEye Mandiant威胁情报强调了CTI在漏洞管理中的价值，并详细介绍了最新威胁，趋势和安全建议等研究数据。

互联与共享成为工业控制系统新的发展方向，工控系统与企业办公网和互联网逐渐相连，工业控制网络环境变得越来越开放。

我们在编译c文件时，开启了栈不可执行和地址随机化，system和'/bin/sh'会发生改变，那我们该如何获取system等的位置呢？

近8年来，一名黑客一直在悄无声息地将D-Link NVRs(网络录像机)和NAS(网络附加存储)设备劫持到一个僵尸网络中，其唯一目的是连接到在线网站并下载动漫视频。

从历史发展的角度看，安全域隔离一直是传统安全领域广泛采用的防御手段。

全国信息安全标准化技术委员会归口的GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》等26项国家标准正式发布。

此前的一些报道中已经描述了攻击者如何利用新型冠状病毒的大流行来传播恶意软件或者进行敲诈勒索。这种恐慌仍然在蔓延，利用这种恐慌进行攻击仍然还起作用。

想成为“黑客”？快来参加活动领取《黑客秘笈》！

近日，卡巴斯基发布2019年垃圾邮件和钓鱼邮件分析报告。

5月5日委内瑞拉国家电网干线遭到攻击，造成全国大面积停电。委国家电力公司正组织人力全力抢修，部分地区已经恢复供电。

2020年，“Hermit（隐士）”APT组织依然保持较高的活跃度，攻击方式和木马行为上也有了较大的更新，因此我们对近期的攻击活动做一个整理，并对木马的一些更新情况做一个详细分析汇总。

最近团队在部署DLP，作为一个技术人员对于黑盒看不到的地方还是充满了好奇心。

近期咨询app隐私合规的人有点多，正好借这个机会把相关内容整理一下供大家学习参考。

美国商务部宣布将审查美国变压器、变压器铁芯、变压器调节器等零部件的进口量是否威胁了国家安全，这可能导致美国针对电网零部件加征新关税。

谈到信息安全免不了要解决一个问题就是数据加密。加密就会涉及到密钥相关的问题，比如密钥的生成、传输、保存、泄露等问题。如何保护好密钥的安全就成了信息安全的非常重要的一个部分。

下周三晚8点，阿里巴巴集团安全部资深技术专家、阿里安全防控端负责人铁花将为我们带来主题为《传统SDL已过时，如何用安全基建理念打造新一代泛应用安全体系》的公开课。

“4G改变生活，5G改变社会”，5G时代社会的改变深入到各行各业，云网协同的新基础架构使产业发生深刻的变化。

数字图像取证分析是应用图像科学领域里的一种专业知识，这项技术可以在法律事务中解释图像的内容或图像本身所代表的含义。

下周三晚8点，阿里巴巴集团安全部资深技术专家、阿里安全防控端负责人铁花将为我们带来主题为《传统SDL已过时，如何用安全基建理念打造新一代泛应用安全体系》的公开课。

Hoaxcalls同时利用CVE-2020-8515和CVE-2020-5722进行传播。

安全公司 F-Secure 的研究人员披露了SaltStack两个高危漏洞，黑客很快就利用该漏洞对 LineageOS、Ghost 和DigiCert 的服务器发起了攻击。

勒索病毒已经被公认成为企业最大的安全威胁，通过近几个月时间的监控，2020年针对企业或个人的勒索病毒攻击已经变的越来越频繁。

1600万的泄露风波还没有平静，短短几日，任天堂再遭大规模黑客攻击。