APP漏洞扫描用地址空间随机化 前言 我们在前文 《APP漏洞扫描器之本地拒绝服务检测详解》 了解到阿里聚安全漏洞扫描器有一项静态分析加动态模糊测试的方法来检测的功能，并详细的介绍了它在针对本地拒绝服务的检测方法。 同时，**阿里聚漏洞扫描器有一个检测...

最近来自芬兰Klikki Oy的研究员Jouko Pynnnen发表了一篇博客，其中演示了恶意攻击者如何利用XSS漏洞攻下雅虎邮箱，将受害者收件箱中的邮件发到外部站点；以及构建病毒，这个病毒可以通过向邮件签名中添加恶意脚本，附加在所有传出的电子邮件中。 由于恶意代...

Antivirus Live CD 21.0-0.99.2 发布了，Antivirus Live CD 是包含一个ClamAV扫描仪的4MLinux系统调用工具。它是提供给系统管理员的一款轻量级 反病毒扫描仪 live CD 工具。支持以太网（包括 Wi-Fi）和拨号上网（包括快速 USB modems）网络连接器，会自动更...

mac消息，每隔一段时间，就会有一个与 iOS 相关的奇葩bug 出现，导致用户受它影响出现奇怪的现象。例如，前两年，臭名昭著的 effective power bug 就给互联网带来了一阵暴风雨，我们从那以后还看到了各种其它类似的问题。 现在，已经发现，在任何 iOS 设备上...

该漏洞影响Ubuntu，Fedora，Debian和许多其他的Linux发行版。 该问题由苏格兰西部大学的讲师Hector Marco，以及瓦伦西亚理工大学的教授助理Ismael Ripoll发现。他们表示该问题不需要任何特别的系统设置，并对漏洞做了以下分析： 该漏洞允许在受影响的系统中...

来自Qihoo 360 Gear Team的安全研究员石磊（360信息安全部）发现OpenSSL中存在一个影响广泛的远程匿名拒绝服务漏洞，该漏洞被命名为SSL Death Alert(即OpenSSL红色警戒漏洞)， 通用漏洞编号CVE-2016-8610 。 目前已确认该漏洞影响到互联网广泛提供HTTPS(包括...

准备知识： Linux下php安装imagick http://www.osyunwei.com/archives/5327.html 漏洞描述： ImageMagick是一款广泛流行的图像处理软件。近日，该软件被爆出存在远程代码执行漏洞，编号为CVE-20163714。此漏洞允许攻击者通过上传恶意构造的图像文件，在目标...

导读 Linux用户又有一个木马需要苦恼了，就像以往一样，这些黑客大多部署在被劫持的Linux系统上，并在接受到命令后发起DDoS攻击。 发现这件事的Dr.Web的安全研究人员说：木马似乎是通过破壳漏洞感染的这些Linux机器现在仍然有很多设备没有补上这个漏洞。该木...

以下PHP危险函数 需要被禁用哦 phpinfo() 功能描述：输出PHP环境信息以及相关的模块、WEB环境等信息。 危险等级：中 passthru() 功能描述：允许执行一个外部程序并回显输出，类似于exec()。 危险等级：高 exec() 功能描述：允许执行一个外部程序（如UNIX She...

读 虽然针对Linux的恶意软件并不像针对Windows乃至OS X那样普遍，但是近些年来，Linux面临的安全威胁却变得越来越多、越来越严重。个中原因包括，手机爆炸性的普及意味着基于Linux的安卓成为恶意黑 客最具吸引力的目标之一，以及使用Linix系统作为数据中心服...

导读 提供Maven中央仓库托管服务的Sonatype公司说,Java 组件下载中,有1/16的下载组件中包含了安全问题。Sonatype声称,开发者们每年要下载超过310亿个/次Java组件，每天也会新增超过1千个新组件以及超过1万个的组件新版本。 现在企业都采用托管式的中央组件仓...

不知道大家是否了解谷歌Chrome浏览器的金丝雀（Canary）版本，（目前仍是测试版）给用户提供了一个实验级别的特性防篡改系统，它能保护用户加密传输的数据，抵御来自量子计算机的攻击。 量子计算机可解密Web加密流量 在过去的十年里，IBM、英特尔和微软等公...

Ubuntu官方论坛Ubuntu Forums遭到攻击者入侵，200多万用户数据如IP地址、用户名和电子邮件地址被窃...

每个人都在讨论微服务，每个人也都希望能够实现微服务架构，而微服务安全也日渐成为大家关注的重要问题。今天与大家分享的文章，就从应用层面深入探讨了应对微服务安全挑战的方案，为微服务安全提供了新的思路。 面向服务架构（简称 SOA）引入了一类设计规范...

读 完全无视安全功能的 Redis 服务器自创建以来饱受各种安全风险的困扰，Risk Based Security (RBS) 最近发现了 6338 台受到侵入的 Redis 服务器Redis 是一个在内存中以键值对方式存储数据的 NOSQL 数据库。据 DB-Engines 的统计数据，它在 2015 年度的数据...

今年4月份，Apache Stuts 2之上发现的S2-033远程代码执行漏洞，以迅雷不及掩耳之势席卷而来。其利用代码很快就在短时间内迅速传播。而且官方针对这个高危漏洞的修复方案还是无效的。 悲剧的事情今天又再度发生了，这次发现的Struts 2新漏洞编号为CVE-2016-44...

6月14日，有人利用最近曝光的失窃账号的电子邮件和密码组合尝试登陆GitHub，获取使用相同电子邮件的用户账号。GitHub管理员发现到了这次密码复用攻击， 重置了攻击者成功访问的所有账号密码，向受影响的用户发去邮件提供了如何取回账号的方法。GitHub鼓励用户...

具体的重现过程，用php代码修改后缀名后上传，比如说http://www.xx.com/1.jpg，访问的时候用http://www.xx.com/1.jpg/xxx.php http://docs.php.net/manual/zh/ini.core.php cgi.fix_pathinfo 1 PHP_INI_ALL 从 PHP 4.3.0 起可用请注意：默认为1 解决办法： 1...

可能不少人持这样一种观点，认为 Linux 病毒少是因为Linux不像Windows那么普及，其实这种观点很早已经被人批驳过了，一个最有力的论据是：如果写病毒的人写 Windows 病毒是因为 Windows 用户多而因此破坏性大，那么 Internet 上大多数服务器都是基于 Unix/Lin...

2000年到来前，千年虫bug曾经引发了很大的恐慌，甚至不少影视剧中都有夸大的描写。不过在紧急磋商和打补丁之后，软硬件无法正确处理2000年问题的千年虫危机算是平稳度过了。但事实真的如此吗？ 对于Unix类操作系统来说，它们其实还面临着同样的问题，那就是2...

端正学习态度 学linux不会为了当黑客或者骇客 很多小白都知道黑客攻击工具很多来源与Linux平台上的，我也曾指导过很多Linux新手，结果发现他们殊途同归都是朝着类似入侵去的，当然从入门到放弃者除外 我一直强调的是： Linux只是一个工具，工具不是目的，只...

很多人都说 Linux 在默认配置下很安全，我在一定程度上同意这个说法（很值得商榷的话题）。不过 Linux 内置的安全模型和工具做得确实很到位，用户只需进行简单的调整和自定义就可以加强 Linux 服务器安全。 与恶意用户做斗争对于所有 Linux 系统管理员来说都...

Snap 软件包是 Ubuntu 16.04 引入的全新软件打包方式， Canonical 声称它是一种软件开发的安全方式，可让应用程序无法窃取系统中的数据。Ubuntu 客户端平台产品主管 Olli Ries 还指明：Snap 的安全机制可将应用程序从系统中进行隔离，用户在安装 Snap 包时不...

网络安全公司 Sucuri 的安全专家说，他们在调查中发现有 68% 的被黑网站存在着隐藏的 后门 （ backdoor ） 脚本。这些后门脚本会给入侵者提供再次进入秘密通道，即便系统管理员改变了口令或应用了安全补丁，只要没有完全的清理整个系统，后门就会依旧存在。...

Sebug 网站公布了 Redis 未授权访问缺陷的详细漏洞信息，这个 Redis 未授权访问缺陷可轻易导致系统被黑。详细内容请看下文： 漏洞概要 Redis 默认情况下，会绑定在 0.0.0.0:6379，这样将会将Redis服务暴露到公网上，如果在没有开启认证的情况下，可以导致任...

莆田系医院网站提醒插件 v1.1.4发布，有如下更新： 1. 修正插件中的英文翻译问题； 2.针对上海远大心胸医院、上海仁爱医院的屏蔽做了反屏蔽措施，两个医院的屏蔽代码一样，应该是同一个老板，或者同一家外包网站公司。（http://www.yodak.net/templets/js/fk...

这篇文章主要是关于适用于Linux的几种基于主机的入侵检测系统。特别的，我们将会覆盖一些怎么安装这些软件包的要素，已经它们的用处和什么时候能够用到这些东西。 系统安全101 本文将为大家展示一些基础的系统安全知识。特别的，我假设很多常见的安全措施已...

Kernel.org是存放linux kernel相关档案的地方，对于每个喜欢linux的人来说都不陌生吧。正如大家所知道的那样，在前阵子时间很长一段时间里，kernel.org都是出于关闭状态的Down for maintenance。在它down掉的这段时间里，对我的工作也是有些影响的，因为我的k...