张士玉小黑屋

密码重置漏洞概念随着互联网的快速发展,在线支付业务的日渐成熟,大批的网上商城涌入互联网.为了方便网上商城的快速上线,很多该类型的应用程序在未能严格审查源码的情况下就开始上线,导致很多逻辑错误类型的漏洞出现在应用程序中,而密码重置漏洞便是其中的一种。漏洞位置在找回密码处，由于验证设计过于简单，而且对校验码的校验使用次数没有进行限制，导致正确的验证码可以被枚举爆破，从而重置密码。此方法也是最常见的重置密码的方式，因为大多数厂商最开始的设置都是采取的 4-6位纯数字验证码的验证方式，而且是没有防止爆破的设计。当然除了上述的由于

2021年9月8日，微软官方发布风险通告，公开了一个有关WindowsMSHTML的远程代码执行漏洞。有攻击者试图通过使用特制的Office文档来利用此漏洞，该漏洞风险为高，腾讯安全已捕获在野利用样本，腾讯安全全系列产品已支持对该漏洞的恶意利用进行检测拦截，建议Windows用户警惕来历不明的文件，避免轻易打开可疑文档。漏洞详情：2021年9月8日，微软官方发布风险通告，公开了一个有关WindowsMSHTML的远程代码执行漏洞。攻击者通过使用特制的Office文档来利用此漏洞，攻击者

Apple在周一修补了iOS、iPadOS和macOS操作系统中的一个0day漏洞，仅仅一周前发布了一套操作系统更新，解决了大约30多个其他漏洞。该漏洞CVE-2021-30807是在iGiant的IOMobileFrameBuffer模块代码中发现的，这是一个用于管理屏幕帧缓冲区的内核扩展，可被滥用在受影响的设备上运行恶意代码。CVE-2021-30807归功于一位匿名研究人员，已经被未公开但据称是改进的内存处理代码所解决。“一个应

强网杯作为国内最好的CTF比赛之一，搞安全的博友和初学者都可以去尝试下。首先，让我们观摩下这些大神队伍，包括0x300R、eee、0ops、AAA、NeSE、Nu1L等，真的值得我们去学习。其次，非常感谢强网杯的主办方，这么好的比赛离不开许多师傅们的辛苦，我们应该感恩这么高质量比赛的幕后工作者。最后，作为一枚安全菜鸡，不，比菜鸡还菜，就让我简单复现下本次比赛的Web题

2019年7月，我来到了一个陌生的专业——网络空间安全专业。作为一个长期以Python数据挖掘和NLP方向为主的学生，突然换大方向，去从事系统安全和逆向分析的研究，还是挺难的，这两年的过程也极其艰辛。依稀记得，换专业当天我下定决心：希望利用未来四年时间，深入学习安全技术，学会撰写高质量论文，并通过分享让更多的初学者了解和入门安全领域。更期盼博士早日毕业，回到家乡贵州继