小王在进行一些测试中发现一个漏洞，这个漏洞是北京某公司开发的web软件中的，有些大网站在使用这个软件，有IT门户，有著名安全软件公司，香港某著名网站，非注入、跨站等，入侵者可获得目标ID权限，今天看到有人问个MD5密文，明文与这个漏洞有关，可能有人也发现了。

4月12日，瑞星互联网攻防实验室向网民发出安全警报，网民常用的Flash Player存在一个严重的0day漏洞（漏洞编号：CVE-2011-0611）。该漏洞可以被利用在Word中嵌入带毒Flash，用户一旦打开，便会“中毒”，从而造成电脑隐私文件外泄、中毒崩溃甚至被他人控制等严重后果。目前，瑞星杀毒软件的“主动防御功能”，已经实现对于此类攻击的全面拦截，用户可以下载永久免费的瑞星杀毒软件进行防护。

快客电邮

最近网上疯传一个Nginx的所谓文件类型错误解析漏洞，但是真的就只有这样吗？漏洞介绍：nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。80sec发现其中存在一 个较为 严重的安全问题，默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持 php的nginx服务器。

原文详细见：http://www.80sec.com/nginx-securit.html

偶然路过一个php的站，由于自己很少对PHP有研究所以马虎的看了看是phpaaCMS ，不是大型的CMS，习惯性的在后面加了个“'”，没想到爆错了！

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

//您已经在您的SQL语法错误，检查手册，对应于你的MySQL语法的正确使用服务器版本附近'\ ''行1

在最新的discuz! 7.2中自带了一个新的应用程序插件manyou。恰恰在这个新插件中，没有对传入的参数进行检查，在GPC为off的情况下，导致注入漏洞的产生。
漏洞分析：
文件./manyou/sources/notice.php
相关代码：
if($option == 'del') {
$appid = intval($_GET['appid']);
...

近来黑客攻击事件频频发生，我们身边的朋友可能有qq、E-mail和游戏账号被盗事件发生。现在的黑客技术有朝着大众化方向发展的趋势，能够掌握攻击他人系统技术的人越来越多了，只要你的电脑稍微有点系统Bug或者安装了有问题的应用程序，就有可能成为他人的肉鸡。如何给一台上网的机器查漏洞并做出相应的处理呢?

　　一、要命的端口

　　计算机要与外界进行通信，必须通过一些端口。别人要想入侵和控制我们的电脑，也要从某些端口连接进来。如果开放了139、445、3389、4899等重要端口，要知道这些端口都可以为黑客入侵提供便利。尤其是4899，可能是入侵者安装的后门工具Radmin打开的，他可以通过这个端口取得系统的完全控制权。

1月27日消息 波兰一家安全组织（www.ntinternals.org）近日公布：瑞星杀毒软件长期存在两个“本地提权”0day安全漏洞，使木马病毒能轻易获得瑞星用户的系统控制权。国内安全厂商金山和360的技术专家均已确认了这两个漏洞的存在，一旦受到黑客攻击，数千万瑞星用户将丧失对木马病毒的防御能力，并将导致国内大批政府与企业内网的信息安全面临严重威胁。

　　曝光者说，瑞星杀毒的这两个漏洞涉及瑞星杀毒软件2008、2009、2010等主要版本，而且利用方式简单、稳定，能使黑客在攻击瑞星用户时获得系统最高权限。金山工程师李铁军说，这两个漏洞有可能被黑客利用来制造“批量抓鸡工具”；360的石晓虹则在电话采访中表示，如果这类漏洞被黑客大规模利用，会严重威胁到瑞星个人用户的账号和隐私安全。另外一家企业级安全厂商的技术人员谈到了一种更严重的可能性：使用瑞星杀毒的政府机构和企业用户很可能因此被黑客渗透到内网中，从而危及这类机构的信息安全。

...

Acunetix Web Vulnerability Scanner v2.0是一款网络漏洞扫描工具, 它可以扫描一些常见的WEB漏洞，其中包括SQL Inject、XSS、XFS，并且可以对目录、Site Mapper、备份文件等进行猜测。该软件使用方法很简单，软件运行后，单击窗口中的“Web Scanner”，如图1所示，
 

...