著名系统优化工具CCleaner被植入恶意代码 全球2000万用户受感染

近日，有安全研究团队表示，著名系统优化工具CCleaner被发现植入恶意代码。大量使用该工具的用户恐将面临泄密风险。这是继Xshell后门事件后，又一起严重的软件供应链来源攻击事件。据研究人员估算全球2000万用户受到感

iOS高危漏洞威胁近半果粉！

即使最新的 iPhone7 系列机型，也有近32%的设备没有及时升级。而这些旧版本的多个高危漏洞的利用方法已经被公开，未升级用户面临着严峻的安全风险。我们呼吁 iOS 用户尽快升级，也呼吁手机厂商采用更有效的技术保护普通

Http协议 heap buffer overflow漏洞分析及利用

本文对CVE-2016-10190进行了详细的分析，是一个学习如何利用堆溢出达到任意代码执行的一个非常不错的案例。

从WordPress SQLi谈PHP格式化字符串问题

近日，WordPress爆出了一个SQLi漏洞，漏洞发生在WP的后台上传图片的位置，通过修改图片在数据库中的参数，以及利用php的sprintf函数的特性，在删除图片时，导致'单引号的逃逸。漏洞利用较为困难，但思路非常值

Xshell 高级后门完整分析报告

近日，Xshell 官方发布公告称其软件中存在后门。我们的实习生同学对该后门进行了详细的分析，确认这是一个具备恶意代码下载执行和数据回传等能力的高级木马。

Chrome XSS Auditor bypass

Chrome 55/56可用， 无任何条件，只要输出在页面中即可执行代码。

ThinkPHP 5.0.10-3.2.3 缓存函数设计缺陷可导致 Getshell

Thinkphp 在使用缓存的时候是将数据 序列化 然后存进一个 php 文件中这就导致我们了我们在一些情况下可以直接 getshell

Metinfo 5.3.17 前台SQL注入漏洞分析

Metinfo 8月1日升级了版本，修复了一个影响小于等于 5.3.17 版本（几乎可以追溯到所有5.x版本）的 SQL 注入漏洞。这个 SQL 注入漏洞不受软 WAF 影响，可以直接获取数据，影响较广。

CVE-2017-7368:高通声卡驱动中的条件竞争漏洞分析

最近，在进行Android源码审计的时候，发现了存着于高通声卡驱动中的一个条件竞争漏洞CVE-2017-7368（CNVD-2017-10809，CNNVD-201704-037）。虽然审计的源码稍微有点过时，谷歌在六月份已经修复了该漏洞，但是整个漏洞发现的过程和漏洞的分析还是比较有意义的。本文首先介绍高通声卡的攻击面和攻击向量，然后详细分析该漏洞成因，最后给出POC。

Pengex通过系统盘疯狂传播 攻击所有主流杀软

"Pengex" 通过盗版系统盘和"注册机"软件进行传播，并在用户电脑中留下后门，日后可随时植入任意病毒，因此威胁隐患极大。"Pengex" 会攻击各种主流的杀毒软件，包括火绒、360、金山等，导致这些软件的驱动无法加载