近日，国家信息安全漏洞库（CNNVD）收到关于微信支付SDK XXE（XML External Entity）漏洞（CNNVD-201807-083）情况的报送。成功利用该漏洞的攻击者可以远程读取服务器文件，获取商户服务器上的隐私数据，甚至可以支付任意金额购买商品。使用有漏洞的Java版本微信支付SDK进行支付交易的商家网站可能受此漏洞影响。目前，微信官方已经发布补丁修复该漏洞，建议用户及时确认是

“任何牺牲基本自由以换取短暂安全的人,最后既得不到安全也得不到自由。” ——本杰明·富兰克林北京时间 5 月 28 日，俄罗斯监管部门向苹果施压，要求苹果一个月内将 Telegram  从 APP Store 下架，并屏蔽对俄罗斯本地用户的信息传送。近日，Telegram 首席执行官 PavelDurov 表示，从 4 月中旬俄罗斯政府下令禁用 Telegram 以来，苹果就一直在阻止

0×00概述近期看到网上公布较多hdwiki最新版的安全漏洞，这里以我自己发现的二次注入漏洞进行分享。0×01 白盒审计源码信息：HDWiki-v6.0UTF8-20170209问题文件： \hdwiki\control\comment.php漏洞类型：SQL注入首先进行安装之后主界面如下；直接看存在问题的文件，路径为\hdwiki\control\comment.php以及具体页面为词条评论的地

本文我将为大家介绍一种非常有趣而又古老的UNIX黑客技术“通配符注入”。虽说这已不是什么新技术了，但在后渗透利用中仍可能成为你手中的一把制胜利器。相信阅读本文后，你将会对通配符有更加全面及深入的认识。好了，话不多说让我们开始吧！通配符通配符是一种特殊语句，主要有型号（*）和问号（？），用来对字符串进行模糊匹配（比如文件名，参数名）。当查找文件夹时，可以使用它来代替一个或多个真正字符；当不知道真正字

以下是一系列关于车辆安全和汽车黑客的资源清单列表，其中包括技术文章，书籍，软硬件，应用程序等。同时，也欢迎大家补充这个清单列表，并能关注作者Twitter以获取更多的安全资讯。文章如何入侵一辆汽车 – 这篇文章是由汽车爱好者Kenny Kuchera分享的，虽然过程算不上特别的详尽，但却足以通过文中提及的技术内容，让你体验一回汽车入侵的快感。远程截停一辆正在高速行驶的Jeep Chero

来自 OJ Reeves 的纠错: phpMyAdmin 4.8.x LFI to RCE – encoding not required今天ChaMd5安全团队公开了一个phpMyAdmin最新版中的本地文件包含漏洞：phpmyadmin4.8.1后台getshell。该漏洞利用不要求root帐号，只需能够登录 phpMyAdmin 便能够利用。在这篇文章中我们将使

在大学毕业生的求职之旅中，薪酬水平始终扮演着关键角色，并且是评价毕业生就业质量的主要标准之一。在每年高考志愿填报的关键时刻，薪资水平也常作为考生及家长们选择报考专业的关键因素。那么，在2024年，究竟哪些专业在月收入排行榜上脱颖而出，表现出色呢？一起来看信息安全专业在薪资排名中再次拔得头筹据麦可思研究院发布的《2023年中国本科生就业报告》，2023年就业蓝皮书显示，22届毕业生月收入较高的主

背景这是一篇关于我在Web应用安全测试前期，进行情报收集的方法与使用工具的详细介绍文章。其实在很早之前，就有很多我的朋友以及社区成员要求我分享我的一些侦察经验。但我迷上了一部非常好看的电视剧，因此一直都没有时间。最近，我又收到了InfoSec社区的一些新成员的请求，这也促使我决定去写这篇文章。本文除了会介绍一些侦察的方法外，还会包含一些非常实用的侦察工具和服务。这些工具和服务在测试期间都给予了我很

自从美国FBI和苹果公司就“解锁iPhone”的问题发生分歧之后，双方便开始了暗自较劲。美国警方寻找技术公司作为外援，已经掌握了多个破解iPhone的工具，而苹果现在只需一招就可以废掉几乎所有的破解工具……根据外国媒体的报道，苹果在近期将会对iPhone的锁定机制做出一些更改，在手机锁定一小时后将禁用手机充电和数据端口。也就是说，如果iPhone锁定后，如果想要使用端口在其他设备和iPhone之间

随着互联网的不断发展，安全问题也越来越受到企业的重视。但安全问题往往需要大量资金的投入，例如聘请安全工程师，产品研发，测试等流程。这对于那些原本就资金紧缺的企业而言，是绝对无法接受的。因此，为了减少在这方面的资金投入，许多安全人员都会选择使用一些开源软件来替代。事实上，无论是学习，试验，还是在生产基础上进行部署，安全专业人员长期以来都将开源软件视为其工具包的重要组成部分。 下面我们为大家