与Struts2 S2-21漏洞类似，apache基金会早期开发的struts1框架也存在 ClassLoader操控问题，但官方表示不予维护，故漏洞危害依然存在。腾讯安全应急响应中心研究人员分享了一个漏洞解决方案。并建议广大厂商尽快升级修复！

日前，struts2官方又发布了新版本修复残余缺陷：http://t.cn/8sdhLB9，建议各大厂商尽快升级。另外，腾讯安全应急响应中心的小伙伴对漏洞原理进行了简要分析，详情请看正文。

TSRC第二届安全沙龙已经圆满结束，关于此次会议实录请参见正文。最后感谢各位一直理解和支持TSRC的朋友们，正是你们的理解与支持，才不断地支撑着TSRC前进，让我们共同期待下一次的聚会。

在日常分析软件安全问题时，经常需要耗费较长时间，而一些分析技巧可以有效地提高分析速度。来自腾讯安全中心的 riusksk 就以往分析过的若干漏洞案例，总结出一些小技巧，欢迎大家共同学习探讨。

web安全近些年来一直备受关注，随着使用开源WEB CMS的网站愈来愈多，一个漏洞可能引发千万网站沦陷。腾讯安全中心的pandas将以DISCUZ曾经出现的一些问题简要总结一些知识点，欢迎拍砖。

还记得去年10月份 Android平台https嗅探劫持漏洞吗？多个主流app受其影响。今日，腾讯安全中心的Gmxp带来了关于此漏洞的细节分析，希望跟业界同行和白帽子进行探讨，共同提高，打造一个良性的安全生态环境，详见博文。

构建超大型网络流量分析系统，硬件和软件二者缺一不可。继上篇整体硬件架构和负载分担原理的介绍后，本期将带来整体软件架构以及一点点心得，希望能对大家有所帮助，也欢迎业界专家批评指正。

CGI好比Web漏洞扫描器的眼睛，只有CGI更全更准，扫描器才能更好地“看到”漏洞，为Web安全保驾护航。腾讯安全中心的CGI采集去重系统——Storm-Cgi提供了采集海量CGI，并过滤去重的一套解决方案。详请见正文。

你想了解android系统是如何通过bootloader初始化软硬件，以便为最终调用操作系统内核准备好正确的环境吗？腾讯安全应急响应中心的firewings将为你带来android系统典型bootloader的分析，详情见正文。

当前，GSM伪基站安全问题十分明显，GSM伪基站如果用于钓鱼，危害就会很大。腾讯安全应急响应中心针对伪基站的检测进行了一些探索和尝试，在此分享一些思路和demo效果，欢迎各位专家一起探讨、批评、指正。