JSRC夏日关怀季：挖洞送金条，参与即有零食大礼包

JSRC & i春秋众测—移动专项活动。时间：2018.7.30—2018.8.3。规则：在活动时间内对京东的APP及IOT产品进行测试，提交漏洞赢奖励（提交时务必选定分类“移动及IOT智能”）

物联网应用认证：TPM2.0助力

随着可信平台模块2.0（Trusted Platform Module，简称TPM）的日益普及，嵌入式系统安全专家Mocana公司正期待利用该技术，以帮助改进嵌入式物联网设备中的安全更新和容器部署等问题。

内部威胁保护(ITP)的黄金标准

内部人员威胁的普遍性和后果严重性令很多公司企业开始设立自己的内部威胁项目(ITP)。但安全人员往往对ITP的理想构成不甚清楚，或者存在误解。不过，多年ITP管理经验可以告诉我们，真正有效的“黄金标准”ITP是具备一些共性

威胁快报| 首个Spark REST API未授权漏洞利用分析

2018年7月7日，阿里云安全首次捕获Spark REST API的未授权RCE漏洞进行攻击的真实样本。7月9号起，阿里云平台已能默认防御此漏洞的大规模利用。

我是怎么通过生产网SSRF漏洞进入谷歌Borg的

Caja是Google的一个能对html和javascript做XSS过滤的工具，2018年3月笔者发现并向谷歌提交了一个Caja的XSS漏洞。到5月份的时候，这个XSS问题已经被修复，不过我发现谷歌某站点用的是没有打补

Imperva：看好中国市场 做应用与数据安全领导者

2018年7月26日，数据安全与应用安全厂商Imperva，在西安召开用户与合作伙伴大会。主管亚太及日本(APJ)区域的Imperva副总裁克里斯·伍德(Chris Wood)表示，APJ的业务收入增长为全球增长最快，其

十种机制保护三大网络基础协议（BGP、NTP和FTP）

涉及基础互联网协议的攻击见诸报端时，人们的视线往往集中在Web上，HTTP或DNS是绝对的主角。但历史告诉我们，其他协议也会被当做攻击脆弱公司企业的武器和入口。

NetSpectre可利用芯片安全漏洞远程盗取信息（虽然很慢）

计算机安全研究人员设计出了远程利用现代处理器芯片预测执行漏洞的方法。听起来好像很严重，但实际上可能并没有。目前为止，幽灵攻击尚需恶意代码在脆弱主机本地执行，才可以从本机其他软件的内存中盗取口令、密钥和其他秘密。

如何查看macOS一个月前的进程执行记录

数字取证分析人员在分析macOS时，很难获得关于程序执行的相关信息，但现在情况已有所改观。在macOS 10.13（High Sierra）中，Apple推出了CoreAnalytics，这是一种系统诊断机制，可以获取系

攻击者借助Office漏洞传播FELIXROOT后门

2017年9月，在针对乌克兰的攻击活动中FireEye发现了FELIXROOT后门这款恶意载荷，并将其反馈给我们的情报感知客户。该攻击活动使用了一些恶意的乌克兰银行文档，其中包含一个宏，用来下载FELIXROOT载荷并将