谷歌近期对外公布了12月份的安全公告，其中包含我们团队提交的语音信箱伪造漏洞(CVE-2016-6771)，该漏洞可导致恶意应用进行伪造语音信箱攻击。本文将对该漏洞进行分析。

本文是《移动APP客户端安全笔记》系列文章中的第一篇，主要讲的是移动App漏洞检测发展历史，漏洞检测平台与工具，自动化漏洞检测平台构建以及笔者的一些思考。希望能对移动App自动化漏洞检测感兴趣的同学有所帮助。

phpMyAdmin是一个web端通用MySQL管理工具，上述版本在central_columns.lib.php文件里的db参数存在sql注入漏洞，攻击者利用此漏洞可以获取数据库中敏感信息,进一步攻击甚至可以执行任意命令

在防御和消灭DOM XSS漏洞的斗争一线，希望Web前端工程师们树立起安全的开发意识，与广大运维安全人员携手，将DOM XSS漏洞消灭在萌芽之中。驱散前端安全梦魇，保护用户安全。

利用python urllib http头注入对内网未授权redis服务进行getshell的实践

Android应用的审计技术已经于相对成熟，而iOS应用审计系统在国内还是比较欠缺的。我们专门研发了一款针对iOS应用的自动化审计系统。除日常的应用审计外，也是希望它能够在安全应急上起到辅助的作用。本文主要是对这部分技术进行一些粗浅的探索。

在大型互联网企业生产环境中，Webshell检测无疑是反入侵的一大重点工作，其中静态检测又是常用手段之一。深入分析各类web容器，我们发现静态检测存在各种先天的缺陷。本文介绍一种利用Java Binary Webshell对抗静态检测的方法，欢迎大家拍砖。

你一定有关注到央视315晚会上的高大上的无人机劫持演示吧。是的，无人机是可以被劫持的，那么这次的劫持无人机技术上是如何实现呢？飞机汽车坦克可以被劫持吗？同类的智能设备有没有类似问题？……且听315晚会的无人机劫持演示者、腾讯安全专家Gmxp娓娓道来。

Squid Cache是使用十分广泛的HTTP缓存代理服务器。近日，Squid官方更新了多个远程拒绝服务漏洞，只需一个HTTP请求即可打挂Squid服务，本文主要该对该漏洞进行了分析。

权限滥用漏洞一般归类于逻辑问题，是指服务端功能开放过多或权限限制不严格，导致攻击者可以通过直接或间接调用的方式达到攻击效果。本文主要结合已知的平台漏洞进行总结和阐述。