Google Code-in是一个由Google主办的针对学生的在线编程竞赛，每年举办一次。当我第二次注册时，我将payload放入所有文本框中。我觉得应该不会发生什么异常，但是当我单击提交按钮时，所有的payload都被执行。并且在我访问的每个页面上payload都会执行。以上一点意味着它不仅仅是一个Self-XSS，很可能其他页面也存在JSON数据逃逸的问题。我把这个漏洞提交给Google的技

一、前言模糊测试（Fuzzing）技术作为漏洞挖掘最有效的手段之一，近年来一直是众多安全研究人员发现漏洞的首选技术。AFL、LibFuzzer、honggfuzz等操作简单友好的工具相继出现，也极大地降低了模糊测试的门槛。阿尔法实验室的同学近期学习漏洞挖掘过程中，感觉目前网上相关的的资源有些冗杂，让初学者有些无从着手，便想在此对学习过程中收集的一些优秀的博文、论文和工具进行总结与梳理、分享一些学习

 概述2018年12月14日下午，360互联网安全中心监测到 “驱动人生”系列软件“人生日历”等升级程序分发恶意代码的活动，其中包括信息收集及挖矿木马，甚至还下发了利用永恒之蓝漏洞进行内网传播的程序。360核心安全事业部已经对相关的恶意代码做了分析，可以参看参考链接。360威胁情报中心对本次事件做了进一步的分析，基于收集到的事实确认这是一起通过控制应用相关的升级服务器执行的典型的供应链

译文声明本文是翻译文章，文章原作者McAfee，文章来源：securingtomorrow.mcafee.com                                原文地址：https://securingtomorrow.mc

译文声明本文是翻译文章，文章原作者Welivesecurity，文章来源：welivesecurity.com                                原文地址：https://www.welivesecurity.c

作者：360核心安全&360CERT0x00 概述2018年12月14日下午，360互联网安全中心监控到一批通过 “人生日历”升级程序下发的下载器木马，其具备远程执行代码功能，启动后会将用户计算机的详细信息发往木马服务器，并接收远程指令执行下一步操作。同时该木马还携带有永恒之蓝漏洞攻击组件，可通过永恒之蓝漏洞攻击局域网与互联网中其它机器。360安全卫士已在第一时间对该木马进行了拦截查杀，并

前言无可争议的是，自动售货机对于黑客来说是一个特殊的对象，它总是被当成一道特别的美味。一开始，自动售货机不能联网，只接受硬币，然后，可以使用NFC卡片。如果我说“COGES”，我敢肯定某个人的脑海一定会回想起一些美好时光。但是，在这些年里，很多事情发生了根本性的变化。稍不注意，你就发现整个世界都被能与互联网相连接的东西所取代。故事有一天，我决定离开我的宿舍，然后直接回到我的家乡晒晒太阳，所以我去了

译文声明本文是翻译文章，文章原作者netspi，文章来源：blog.netspi.com                                原文地址：https://blog.netspi.com/adidns-revisite

ESET研究人员最近发现了一种新的Android木马，它使用了一种针对官方PayPal应用程序的新技术，能够绕过PayPal的双因素认证。近期网络上出现了一个针安卓用户的新木马，它有一些特殊的技巧。2018年11月ESET首次检测到该木马，它将银行木马的远程控制功能与一种Android可访问性服务新的滥用方法相结合，针对使用官方Paypal应用的用户。截止到撰写本文时，该恶意软件伪装成电池优化工具

由于配置不当漏洞，公网某服务器暴露了大量纳税人识别号码以及个人登记号码(CPFs)，涉及1亿2千万巴西国民，影响时间段暂时未知。在巴西国民进行经济活动之前，如开立银行账户、创办企业、纳税或申请贷款等，他们必须申请一个CPF号码。与美国社会保障号码类似，CPF号码与拥有者的财务和个人信息相关联，如果它们被公开，这显然会造成极大的安全风险。根据InfoArmor的最新研究，于2018年3月发现了一个公