微软宣布自2022年8月起通过公共符号服务器发布Office符号文件,以支持安全研究人员更高效地发现漏洞,并帮助客户和合作伙伴进行性能诊断与测试,提升整体安全性和性能。
本文详细介绍了作者为2022年信息安全挑战赛设计的一个基于CalDAV协议的CTF挑战。挑战涉及代码审计、漏洞利用和反序列化攻击,通过四个Web请求实现远程代码执行。文章还讨论了挑战的设计原则、意外解决方案的处理以及比赛中的实际反馈。
本文基于 Go 审计发现,对 go-fuzz 进行了三项改进:修复类型别名导致的崩溃问题,集成 AFL/libFuzzer 格式字典支持,并开发了插入重复字节、字节洗牌和 LEB128 编码等新变异策略,提升模糊测试效果。
Trail of Bits宣布推出osquery企业支持计划,提供12个月保障服务和定制开发服务,帮助企业解决osquery扩展开发、性能优化和漏洞修复等关键技术需求,推动开源安全工具替代商业解决方案。
本文通过认证案例研究,比较了掩码和泄漏弹性伪随机函数在对抗差分功耗分析攻击时的安全性与成本效益,并呼吁推动泄漏弹性密码学的标准化进程。
本文通过真实婚恋诈骗案例,揭示诈骗分子如何利用社交工程技术获取信任并实施金融诈骗,涉及金额从6000美元到18.4万美元不等,并给出关键网络安全防护建议。
本文详细解析了CVE-2021-24086漏洞,涉及Windows tcpip.sys驱动中的IPv6碎片重组NULL解引用问题,通过逆向工程和PoC编写过程,深入探讨了网络数据包处理机制及漏洞触发条件。
本文介绍了ProtoFuzz,一个用于生成Google Protocol Buffers(protobuf)模糊测试数据的Python库。它支持多种生成策略和字段依赖关系,帮助安全测试人员高效测试消息处理代码的漏洞。
本文分析了企业安全官(CSO)管理不善的10个典型特征,包括缺乏长期战略、危机管理能力不足、沟通问题等,这些因素会直接影响IT团队士气和企业安全状况。
本文探讨了通过Wayback Machine访问HackerOne历史漏洞赏金报告的发现过程,分析了平台回应及数据永久性的网络安全启示,揭示了公开数据管理的现实挑战。