DOM-based XSS是一种基于文档对象模型（Document Object Model，DOM)的XSS漏洞。简单理解，DOM XSS就是出现在JavaScript代码中的漏洞。与普通XSS不同的是，DOM XSS是在浏览器的解析中改变页面DOM树，且恶意代码并不在返回页面源码中回显，这使我们无法通过特征匹配来检测DOM XSS，给自动化漏洞检测带来了挑战。本文将介绍一种基于QtWebKit的DOM XSS检测系统以及本系统目前取得的效果和一些不足之处。

由于业务发展需要，腾讯安全中心面向社会特别是安全圈招聘数名安全工程师、开发工程师和产品经理，工作地点均在深圳。腾讯提供业界具有竞争力的薪酬福利，还有海量用户和大型架构对技术的挑战，是您挑战技术巅峰、实现自我价值的不二选择。如有意向，请将您的简历发送到 security#tencent.com ( 将#替换为@ )，邮件标题中请注明" [ 简历 ] "和应聘职位。

随着应用安全的发展，大家都比较关注应用安全漏洞，其实在应用层之下的传输层也有很多安全风险，而且这些安全风险正在被广泛利用。比如今天要给大家介绍的TCP链路劫持攻击。详情请看下文。

意见征集啦

本文主要讲述如何利用Android沙盘实现自动化分析恶意软件的方法，其中介绍了Android沙盘的原理，以及由笔者编写的Android沙盘——MalDroidAnalyzer，后面会提供由MalDroidAnalyzer分析真实病毒时自动生成的分析报告。

随着移动互联网的发展，移动终端安全也越来越受到关注。特别是Android系统的崛起，互联网上的各类Andriod软件数量迅速上升。因Android系统是开源的，导致各种android恶意软件迅猛增加，成为手机系统的最大受害者。与此同时，android系统和软件本身的漏洞也进一步危害到用户的隐私安全。本文主要针对Android软件安全进行审计，提供一些常见的安全检测点，并借此实现自动化审计工具，最后评估下业界常见android软件安全的现状。

非常感谢IT168举办的SACC2012，也有幸能参加会议与各位朋友交流。以下是演讲PPT，主要介绍了腾讯的一些安全运维体系，供大家参考，希望对大家有所帮助

IDA毫无疑问是逆向领域里的一大神器，无所不能。有人的地方就有江湖，有江湖的地方就有武器。那么，在逆向这个江湖中，IDC和IDAPython就好比倚天剑和屠龙刀，威力无比。接下来，笔者将以自己的经验来分享下两把利器“倚天剑”和“屠龙刀”的应用。

本文中笔者整理了一些典型的DDoS攻击数据包，通过wireshark进行简易的分析，能够对攻击数据包的构成和特征进行粗略分析。通过简单的分析抓包文件认定攻击的发生和确定简单而行之有效的防御措施，适用于在没有专用设备的情况下最大程度和攻击者斗智斗勇，减少攻击影响和降低损失.详情请点击查看正文！

由于之前工作需要，笔者经常接触一些业界安全产品，对其性能、安全性等等的分析自然是关注的重点。好的地方自然要学习，如果有缺陷的地方则值得我们自省，看自己的系统和产品是否也会有这些问题呢？