0x00. 前言近日，我们蜜罐捕捉到一列挖矿样本，经分析确认为DDG.Mining.Botnet样本的3016版本。与其上一版本相比，3016版本采用了新的分布式框架Memberlist来构建僵尸网络。基于该框架，DDG僵尸网络可以更稳定的实现C2去中心化，以及更灵活的管理和扩展集群。 0x01. 样本对比DDG 是一个利用SSH 、 Redis相关漏洞入侵服务器并构建僵尸网

陈某正吃着夜宵，突然被讨债人员围住，他很纳闷：他们怎么找到的？因怀疑个人位置被定位，陈某立刻报警。江苏南京鼓楼分局网安大队经过侦查，将开发“APP神探”定位软件的吴某，以及用该软件非法定位的其他9人抓获。据悉，这是国内破获的首例非法侵入手机APP获取用户位置信息，为调查公司、讨债公司乃至涉黑涉恶团伙提供人员追踪、技术定位的侵犯公民个人信息刑事案件。目前，吴某及其他犯罪嫌疑人已被公诉。案发欠债老板在

亲爱的读者们：在本文中，我将为大家分享自己在GoogleCloud Console中挖掘存储型XSS漏洞的故事。当然，在我看来，之所以能够挖到这个漏洞，有一定的运气成分在里面。有些读者可能还记得我在发现Google Payments的一个漏洞后发给Frans Rosén的推文：  事实证明，当我将这些“不太奏效”的XSSpayload保存到自己的Google帐户之后，竟然有一个被触发了。

译文声明本文是翻译文章，文章原作者fsx30，文章来源：medium.com                                原文地址：https://medium.com/@fsx30/bypass-edrs-memory-

一，Oauth错误配置导致的CSRF大家好，我是Jackson。这是我的第一篇安全漏洞文章，我是在考试复习期间发现的这个漏洞。首先还是要感谢Midhun S给我“提供”的这个站。让我们开始吧！侦察当我一开始渗透测试时，并没有花太多时间在侦察上，但后来我意识到侦察的重要性，并且通过侦察和一些低级漏洞对Web应用有了更深刻的理解。当我得到一个目标时，我总是先从一些简单的谷歌搜索开始，了解目标使用了什么

根据Embedi安全研究专家Denis Selianin今天披露的报告，Marvell Avastar 88W8897无线芯片组固件存在安全漏洞，导致全球数十亿台使用该芯片的笔记本、智能手机、游戏设备、路由器和物联网设备存在安全隐患。在报告中，Selianin描述了如何在不需要用户任何交互的情况下，利用88W8897无线芯片组上安装的ThreadX固件来执行恶意代码。ThreadX是一种实时操作系

 2018年，区块链项目在这一年上演着冰与火之歌，年初火爆的比特币在一年时间内跌去八成。除了巨大的市场波动之外，区块链领域本身的安全问题也逐渐凸显，与之相关的社会化问题不断显现。“勒索”、“盗窃”、“非法挖矿”是区块链项目数字加密货币的三大安全威胁，其中云主机用户面临的首要安全问题是非法挖矿。非法挖矿一般分为基于文件的挖矿和基于浏览器的挖矿。由于云主机用户一般不使用浏览器访问网页，故基于

译文声明本文是翻译文章，文章原作者checkpoint，文章来源：research.checkpoint.com                                 原文地址：https://research.checkpoin

1月20日，一个平静的周末，拼多多却在这一天给消费者送了一个大礼，准确的说是大羊毛。据悉从20号凌晨开始，拼多多出现了一个超级大Bug，用户可以领取100元无门槛券，注意是领取，不是抢购。据悉是专职羊毛党发现了这个大Bug，有的大牛已经领了上千张100元无门槛券，怕被抓进去于是把领券方式公布于众，于是大批用户开启了薅羊毛节奏。随着事情的发酵，拼多多在20号九点左右把优惠券领取方式全部下架，之前领到

 2018年，区块链项目在这一年上演着冰与火之歌，年初火爆的比特币在一年时间内跌去八成。除了巨大的市场波动之外，区块链领域本身的安全问题也逐渐凸显，与之相关的社会化问题不断显现。“勒索”、“盗窃”、“非法挖矿”是区块链项目数字加密货币的三大安全威胁，其中云主机用户面临的首要安全问题是非法挖矿。非法挖矿一般分为基于文件的挖矿和基于浏览器的挖矿。由于云主机用户一般不使用浏览器访问网页，故基于