最近移动端的漏洞见得比较多，正好从OWASP上找到了IOS开发安全须知，翻译过来，给各位看看。

将一个普通的文件系统想象为一个大的笔记本。当一个文件被删除时，许多人以为这一页是被用“三福”牌记号笔完全涂黑了，就像关于51 区的机密文档那样。但事实上，在这个操作背后所发生的一切...

（1）传统Web应用：浏览器 HTTP 服务器 （2）新兴移动应用：APP HTTP 服务器从安全角度看，传统Web应用与新兴移动应用没有本质区别

PHP文件包含漏洞的产生原因是在通过PHP的函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入。最常见的就属于...

Author:没羽@阿里移动安全对于protobuf over-HTTP的数据交互方式Burpsuite不能正确的解析其中的数据结构，需要Burpsuite扩展才能解析，笔者使用m...

原文链接：http://drops.wooyun.org/tips/1067。在测试时发现了一些问题，于是把解决方案与一些结论共享出来，以供需要。

近期Wordpress自身程序评论功能的Xss在微博上沸沸扬扬，而其中的修复过程也可谓一波三折，接下来由我为大家一一讲述。

CVE-2014-7911是一个非常值得安卓安全研究者学习的漏洞，其漏洞成因和漏洞利用涉及java序列化、安卓Binder IPC通信、ROP、Stack Pivot、heap S...

前段时间遇到一个使用了Hibernate框架的站，以前没怎么接触过（由于是Java盲，所以大家勿喷），再注入的事情发生了许多奇奇怪怪的事情，于是向本地搭一个看看是个神马情况。Hib...

from:http://blog.gosecure.ca/2016/04/27/binary-webshell-through-opcache-in-php-7/在 PHP 7.0...

之前介绍了HTTPS 前端劫持的方案，虽然很有趣，然而现实却并不理想。其唯一、也是最大的缺陷，就是无法阻止脚本跳转。若是没有这个缺陷，那就非常完美了 —— 当然也就没有必要写这篇文...

13年的时候，IBM的安全研究人员发现了1个Google框架层的漏洞Fragment注入漏洞，该漏洞可以导致Android手机的PIN码被重置，大家应该对图1不陌生。这个漏洞之后，...