TSRC首届安全沙龙的PPT、八卦新鲜发布啦。也欢迎更多的参会嘉宾分享自己的感悟，以及更多朋友为我们提出宝贵意见建议。

出于工作需要，笔者经常会接触到公司的各类Discuz论坛，对Discuz的安全问题十分关注，这里给大家分享一些关于discuz论坛防护的方案，希望能给广大企业用户提供帮助。

2012年10月15日exploit-db漏洞公布站点上发布了《QQPlayer 3.7.892 m2p quartz.dll Heap Pointer Overwrite PoC》，后被人提交至乌云和CNCERT。但经过腾讯安全应急响应团队的分析，确认该漏洞与QQ影音无关，而是微软DirectShow quartz.dll在解析M2P文件时存在堆溢出漏洞，随后腾讯安全团队及时报与微软应急响应中心（MSRC），微软回复确认漏洞存在并于2013/2/12发布补丁修复，其对应的微软编号及CVE编号分别为MS13-011和CVE-2013-0077，具体漏洞公告参见：http://technet.microsoft.com/zh-cn/security/bulletin/ms13-011。

对于广大互联网公司来说，域名是入口，同时也是基石。一旦域名出现问题，对于普通用户来说，获取服务的大门封死，这“公司”便不复存在了。对于互联网公司来说，如此重要的域名，面临哪些安全风险？又会有哪些好的防护措施与安全实践呢？

随着互联网的发展及以CSDN数据库泄漏事件为典型的业界血泪教训推动，信息安全逐步受到业界重视。如何建设一个安全的系统，相信这一议题是众人所关心的。笔者今日对实际的漏洞进行一个总结并归纳出一套安全系统的设计之道供大家参考，不足之处还请指正。

DOM-based XSS是一种基于文档对象模型（Document Object Model，DOM)的XSS漏洞。简单理解，DOM XSS就是出现在JavaScript代码中的漏洞。与普通XSS不同的是，DOM XSS是在浏览器的解析中改变页面DOM树，且恶意代码并不在返回页面源码中回显，这使我们无法通过特征匹配来检测DOM XSS，给自动化漏洞检测带来了挑战。本文将介绍一种基于QtWebKit的DOM XSS检测系统以及本系统目前取得的效果和一些不足之处。

由于业务发展需要，腾讯安全中心面向社会特别是安全圈招聘数名安全工程师、开发工程师和产品经理，工作地点均在深圳。腾讯提供业界具有竞争力的薪酬福利，还有海量用户和大型架构对技术的挑战，是您挑战技术巅峰、实现自我价值的不二选择。如有意向，请将您的简历发送到 security#tencent.com ( 将#替换为@ )，邮件标题中请注明" [ 简历 ] "和应聘职位。

随着应用安全的发展，大家都比较关注应用安全漏洞，其实在应用层之下的传输层也有很多安全风险，而且这些安全风险正在被广泛利用。比如今天要给大家介绍的TCP链路劫持攻击。详情请看下文。

意见征集啦