Android应用的审计技术已经于相对成熟，而iOS应用审计系统在国内还是比较欠缺的。我们专门研发了一款针对iOS应用的自动化审计系统。除日常的应用审计外，也是希望它能够在安全应急上起到辅助的作用。本文主要是对这部分技术进行一些粗浅的探索。

在大型互联网企业生产环境中，Webshell检测无疑是反入侵的一大重点工作，其中静态检测又是常用手段之一。深入分析各类web容器，我们发现静态检测存在各种先天的缺陷。本文介绍一种利用Java Binary Webshell对抗静态检测的方法，欢迎大家拍砖。

你一定有关注到央视315晚会上的高大上的无人机劫持演示吧。是的，无人机是可以被劫持的，那么这次的劫持无人机技术上是如何实现呢？飞机汽车坦克可以被劫持吗？同类的智能设备有没有类似问题？……且听315晚会的无人机劫持演示者、腾讯安全专家Gmxp娓娓道来。

Squid Cache是使用十分广泛的HTTP缓存代理服务器。近日，Squid官方更新了多个远程拒绝服务漏洞，只需一个HTTP请求即可打挂Squid服务，本文主要该对该漏洞进行了分析。

权限滥用漏洞一般归类于逻辑问题，是指服务端功能开放过多或权限限制不严格，导致攻击者可以通过直接或间接调用的方式达到攻击效果。本文主要结合已知的平台漏洞进行总结和阐述。

腾讯的自研漏洞检测系统由来已久，迄今为止正好十年，这十年建设、三代变迁有怎样心得与教训？分享这篇文章，希望能够给大家带来一些启发。

客户端引入第三方库是个常见场景，由此而引入的安全风险该如何控制。现在让我们借这个影响超过500个APP的某第三方库的“虫洞”漏洞共同反思这个典型场景的处置案例，进而探讨如何规避这类安全风险

近年来智能家居日益普及，涌现了各式各样的产品，如智能插座、智能灯泡、智能门锁、智能摄像头。智能家居为我们的生活提供了便利，也带来了诸多安全隐患。一个小小的智能插座，竟能变为潜藏在家中的杀手。

今年目前为止Java方面影响力最大的漏洞莫过于这段时间持续火热的Commons Collections反序列化漏洞了。随着foxglovesec的一篇长博文，这个漏洞全面爆发，横扫各大知名Java应用程序。现在，让我们一起来分析一下这个漏洞的原理、利用与修复方法。

这几天安全圈几乎被XCodeGhost事件刷屏，大家都非常关注，各安全团队都很给力，纷纷从不同角度分析了病毒行为、传播方式、影响面积甚至还人肉到了作者信息。拜读了所有网上公开或者半公开的分析报告后，我们认为，这还不是全部，所以我们来补充下完整的XCodeGhost事件。