&nb

前言上周Linux内核修复了4个CVE漏洞[1]，其中的CVE-2019-11477感觉是一个很厉害的Dos漏洞，不过因为有其他事打断，所以进展的速度比较慢，这期间网上已经有相关的分析文章了。[2][3]而我在尝试复现CVE-2019-11477漏洞的过程中，在第一步设置MSS的问题上就遇到问题了，无法达到预期效果，但是目前公开的分析文章却没对该部分内容进行详细分析。所以本文将通过Linux内核源

                                        一、概述2019年6月13日，安天蜜网捕获到利用CVE-2015-1427(ElasticSearch

“我们相信，隐私是公民的一项基本权利。但我们也认识到，在这一问题上，并不是所有人都与我们意见一致。”2018 年在布鲁塞尔的一场会议中，苹果公司 CEO 蒂姆·库克曾如此发声。纵观这几年的大量数据泄露事件、隐私保护政策与法规，以及各科技公司陆续发布或更新的隐私保护手段，不难看出苹果在隐私策略方面的布局。库克在担任苹果 CEO 期间，对隐私保护极为重视，还经常批判谷歌和 FaceBook 等公司，

背景近期的 Firefox漏洞CVE-2019-11707最早是 Google Project Zero的Samuel Groß在4月15号提交的，不过他发现的0day只能导致代码执行，却无法进行Firefox的沙盒逃逸，因此如果在实际攻击中利用应该还需要配合一个沙盒逃逸的漏洞。随后在近日，数字货币交易机构Coinbase的安全人员向Firefox提交了其内部遭到攻击时捕获到的一个漏洞，该漏洞

Functrace是一款使用DynamoRIO（http://dynamorio.org/）通过动态检测分析二进制文件的工具。特性（基于DynamoRIO）反汇编所有执行的代码反汇编一个特定的函数（如果是地址则进行转储）获取特定函数的参数（如果是地址则进行转储）获取特定函数的返回值（如果这是一个地址则进行转储）监控应用信号生成报告文件ghidra（https://ghidra-sre.org/）c

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。*大家好，今天分享的Writeup是作者通过对某电子商务网站的Blind XSS测试，发现了系统内部的票据管理系统和FortiGate防火墙管理系统，漏洞最终被定义为XSS导致的信息泄露，获得了厂商 $1,250的奖励，漏洞虽然简单，但这种姿势值得学习。以下是作者的分享，出于保密

在趋势微漏洞研究的漏洞报告中,趋势科技安全研究团队的Sivathmican Sivakumaran和 Pengsu Cheng详细介绍了 Ruby on Rails 中最近的代码执行漏洞。该Bug最初是由被称为ooooo_q的研究人员发现和报告的。以下是他们涵盖 CVE-2019-5420 的一部分,稍作修改。在 Rails 上的 Ruby ActiveStorage组件中报告了不安全的反序列化漏

人工智能技术的加持，5G建设的全面铺开，加速了工业互联网的普及，与此同时，工业信息安全产业规模加速扩容。6月22日，“2019年中国工业信息安全大会”发布《中国工业信息安全产业发展白皮书（2018—2019年）》，其中数据显示，2018年我国工业信息安全产业规模市场增长率达33.55%。预计2019年市场增长率将达19.23%，市场整体规模增长至93.91亿元。这组数据佐证了这样的现实，传统的安全

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担当前，很多网站都会使用第三方特定JavaScript库的方式来增强网站的显示应用功能，通常情况下，这种嵌入到网站中的库可以方便直接地从第三方服务提供商的域中加载，实现对当前网站的优化和功能增强。然而，这种嵌入到很多网站中的第三方库往往会是一个致命的攻击面，可以导致嵌入网站更容易遭受一些