2012年10月15日exploit-db漏洞公布站点上发布了《QQPlayer 3.7.892 m2p quartz.dll Heap Pointer Overwrite PoC》，后被人提交至乌云和CNCERT。但经过腾讯安全应急响应团队的分析，确认该漏洞与QQ影音无关，而是微软DirectShow quartz.dll在解析M2P文件时存在堆溢出漏洞，随后腾讯安全团队及时报与微软应急响应中心（MSRC），微软回复确认漏洞存在并于2013/2/12发布补丁修复，其对应的微软编号及CVE编号分别为MS13-011和CVE-2013-0077，具体漏洞公告参见：http://technet.microsoft.com/zh-cn/security/bulletin/ms13-011。

对于广大互联网公司来说，域名是入口，同时也是基石。一旦域名出现问题，对于普通用户来说，获取服务的大门封死，这“公司”便不复存在了。对于互联网公司来说，如此重要的域名，面临哪些安全风险？又会有哪些好的防护措施与安全实践呢？

随着互联网的发展及以CSDN数据库泄漏事件为典型的业界血泪教训推动，信息安全逐步受到业界重视。如何建设一个安全的系统，相信这一议题是众人所关心的。笔者今日对实际的漏洞进行一个总结并归纳出一套安全系统的设计之道供大家参考，不足之处还请指正。

DOM-based XSS是一种基于文档对象模型（Document Object Model，DOM)的XSS漏洞。简单理解，DOM XSS就是出现在JavaScript代码中的漏洞。与普通XSS不同的是，DOM XSS是在浏览器的解析中改变页面DOM树，且恶意代码并不在返回页面源码中回显，这使我们无法通过特征匹配来检测DOM XSS，给自动化漏洞检测带来了挑战。本文将介绍一种基于QtWebKit的DOM XSS检测系统以及本系统目前取得的效果和一些不足之处。

由于业务发展需要，腾讯安全中心面向社会特别是安全圈招聘数名安全工程师、开发工程师和产品经理，工作地点均在深圳。腾讯提供业界具有竞争力的薪酬福利，还有海量用户和大型架构对技术的挑战，是您挑战技术巅峰、实现自我价值的不二选择。如有意向，请将您的简历发送到 security#tencent.com ( 将#替换为@ )，邮件标题中请注明" [ 简历 ] "和应聘职位。

随着应用安全的发展，大家都比较关注应用安全漏洞，其实在应用层之下的传输层也有很多安全风险，而且这些安全风险正在被广泛利用。比如今天要给大家介绍的TCP链路劫持攻击。详情请看下文。

意见征集啦

本文主要讲述如何利用Android沙盘实现自动化分析恶意软件的方法，其中介绍了Android沙盘的原理，以及由笔者编写的Android沙盘——MalDroidAnalyzer，后面会提供由MalDroidAnalyzer分析真实病毒时自动生成的分析报告。

随着移动互联网的发展，移动终端安全也越来越受到关注。特别是Android系统的崛起，互联网上的各类Andriod软件数量迅速上升。因Android系统是开源的，导致各种android恶意软件迅猛增加，成为手机系统的最大受害者。与此同时，android系统和软件本身的漏洞也进一步危害到用户的隐私安全。本文主要针对Android软件安全进行审计，提供一些常见的安全检测点，并借此实现自动化审计工具，最后评估下业界常见android软件安全的现状。