很多攻击事件其实都是偶然事件，因为那些“脚本小子”碰巧在目标网站上找到了一个常见的且利用难度不大的漏洞。那些大规模数据泄露事件往往都是通过精心策划来执行和实现的，而策划这样的攻击活动多多少少都会在网上留下痕迹。IntSights成立于2015年，一直致力于在暗网中搜索这样的“痕迹”，并将其转换成一种智能化的威胁情报，而这些情报能够帮助研究人员在攻击发生之前了解到攻击者的所做所想。金融行业是一个不太

背景 CiscoTalos研究团队在近期披露了一例针对印度iOS用户的定向攻击活动[1]，但原文并没有明确攻击组织相关背景。360威胁情报中心结合内部威胁情报数据和该公开报告中披露的IOC信息，关联到多份公开情报，并发现该事件的攻击组织极有可能就是“摩诃草”组织(又常称为Hangover，Patchwork，DroppingElephant)，并且分析了该事件与Bellingcat披露的Baham

在通常的解读中，暗网是指日常上网搜索时无法触及的网站及信息，需要通过 VPN 和 Tor 浏览器（或者Riffle、FreeNet、anoNet 和 ZeroNet 等）才能实现匿名访问。一些调查表明，很多暗网的生命周期都很短。有些能活跃长达一年甚至更久，而有些的寿命只有两个月。近年来，关于暗网的报道和调查从未停歇，杀人越货、买卖销赃，暗网似乎已经成为犯罪的代名词。但事实上，暗网发展至今，虽然

前言访问网站时如果访问路径中缺少/，大多数中间件都会自动将路径补全，返回302或301跳转如下图，Location位置的域名会使用Host头的值。这种情况实际上风险较低，难以构成Host头攻击。但是由于大多漏洞扫描器会将这种情况检测为Host头攻击，为了通过上级检查或各种审核，大多数甲方单位会要求修复漏洞，彻底解决问题。该跳转路径不是web项目定义的，是中间件自动跳转的，所以不能用编写静态变量的方

偶然看到一个朋友圈拉黑TOP10，微商、毒鸡汤、晒娃、拉票……这些都能理解，直到看到父母朋友圈。父母朋友圈被拉黑屏蔽率，竟然仅次于微商，鸡汤、晒娃与拉票，排名第五。而这背后，究竟隐藏着怎样的秘密，我们希望这篇文章，能够帮助父母，逃出大家设置的微信黑名单……朋友圈可能变“谣言圈”？自从2012年4月19日微信朋友圈功能上线后，小小社交圈建立起来，谣言也随之而来。 “养生伪科学”是我们受其迫

近期，安全研究专家发现了一款非常有意思的恶意软件，它会根据目标用户的电脑配置来决定到底用哪个方案来从用户身上牟利。勒索软件可以锁定你的电脑，并通过对数据进行加密来阻止你访问自己电脑中的文件，直到你向攻击者支付赎金才行，而非法挖矿软件利用的是目标用户设备的CPU算力以及电能来挖加密货币。这两种攻击在这两年里已经成为了广大用户面临的主要威胁，作为非针对性攻击而言，这两种攻击具有一定的相似性，因为它们不

背景2017年3月，360追日团队发现了一类定向攻击的样本，确认是之前所未知的APT组织的攻击行动样本，目前可以追溯到的该组织至少在2016年4月便开始活动。追日团队将该攻击组织编号为APT-C-35。2017年6月，360威胁情报中心又发现该组织新的攻击活动，确认并曝光了该团伙针对巴基斯坦的定向攻击活动，并详细分析了该组织使用的独有的EHDevel恶意代码框架（见参考[1]）。2018年3月，国

0×01 前言CNCERT前几天发公告称发现Oracle公司出品的基于JavaEE结构的中间件WebLogic产品存在一个远程上传漏洞，并得到了厂商的确认，危害程度评分高达9.8分。鉴于厂商已进行了安全修复，笔者对该漏洞进行了一次分析。WebLogic管理端未授权的两个页面存在任意上传getshell漏洞，可直接获取权限。两个页面分别为/ws_utc/begin.do，/ws_utc/config

近期，安全研究专家在某些蓝牙设备中发现了一个高危加密漏洞（CVE-2018-5383），未经验证的攻击者在物理接近目标设备后，这个漏洞将允许他们拦截、监控或篡改设备的网络数据。这个蓝牙漏洞编号为CVE-2018-5383，受影响的包括苹果、博通、英特尔和高通等大型厂商所生产的设备固件以及操作系统软件驱动器，另外该漏洞是否会影响Android和Linux设备，目前还是未知数。该漏洞主要会影响两种蓝牙

根据Proofpoint安全研究人员的说法，新版本的Kronos银行木马正蠢蠢欲动，研究人员证实，最近三次宣传这个旧木马的翻新版本在2014年经历了鼎盛时期。根据昨天晚上发布报告显示，今年4月，研究人员已经发现了这种新型Kronos变种的第一批样本。最初的样本似乎是处于测试阶段，实际活动在6月下旬开始实施，当时研究人员开始检测malspam并利用套件向野外用户提供这个新版本。活动针对德国，日本，波