PHP7 函数禁用绕过

使用Discuz!做论坛的站长，注意做好加固、备份工作

vBulletin <= 5.5.4 远程代码执行、SQL注入
#预警 #高危漏洞 #RCE

Azure App Service 沙箱逃逸~>远程代码执行
CVE-2019-1372，Azure App Service部署到Azure Stack应注意禁止用户输入（或严格检查）
#RCE

协议层的攻击——HTTP Request Smuggling

HTTP Request Smuggling
协议层的攻击——HTTP Request Smuggling

介绍演示HTTP协议层攻击，有多层HTTP协议环境、业务场景需要（自建CDN等）的朋友应该看看
#协议 #攻击 #演示

sudo <1.8.28 一句话越权执行
#漏洞

CVE-2019-11043，在PHP-FPM工作模式下因错误的Nginx配置可导致远程代码执行、DoS
影响范围：当前所有PHP版本

CPDoS: Cache Poisoned Denial of Service
缓存投毒攻击，多见于有请求缓存的多层网络应用环境（常见比如：CDN）
#攻击 #演示

WEB网络安全方向？来，您有一份武功秘籍到了，请签收：
Everything awesome about web application firewalls (WAFs)

*看完理解灵活运用，老铁双击666没毛病
#WAF #绕过 #特征

Tor Browser v9.0 - Everything you Need to Safely Browse the Internet
#更新 #Tor #浏览器

Gram 钱包（桌面版）接入TON测试网络

Chrome（桌面版）爆了两个高危漏洞：CVE-2019-13721（PDF相关组件：赏金$7500）、CVE-2019-13720（音频相关组件）
影响：可能导致远程代码执行，暂未公开利用细节（由卡巴斯基检测到在野攻击样本，研究分析后报送Google）
建议全系统/平台上的Chrome（桌面版）更新至：78.0.3904.87
#漏洞 #Chrome #浏览器 #高危 #RCE

从指定AngularJS 文件中提取所有 API 点位

curl -s URL | grep -Po "(\/)((?:[a-zA-Z\-_\:\.0-9\{\}]+))(\/)*((?:[a-zA-Z\-_\:\.0-9\{\}]+))(\/)((?:[a-zA-Z\-_\/\:\.0-9\{\}]+))" | sort -u

在2019年10月18，有披露演示Telegram Desktop（桌面版）v1.8.15（10月7号发布更新） 会话劫持漏洞，演示（10月8号发布）在Windows系统环境中通过一个恶意EXE文件，下发负载可完全劫持控制用户会话权限

Nginx+PHP-FPM 任意代码执行已成功复现（想自己尝试复现，连接页面最后有漏洞披露作者发布的测试利用实例）

修复方案
a，（推荐）更新到当前大版本最新（24号所发布版本：7.1.33，7.2.24，7.3.11）可暂保平安
b，不方便升级PHP版本的用户可编辑Nginx配置文件以及默认自带fastcgi_param文件中以下语句：
fastcgi_param PATH_INFO $fastcgi_path_info;
修改为
fastcgi_param PATH_INFO $fastcgi_path_info if_not_empty;
进行阻截

CVE-2019-18408，该漏洞由Google研究员在5月使用ClusterFuzz和OSSFuzz自动“模糊”工具发现，并由libarchive的维护人员于6月12日在3.4.0版中修复，该漏洞没有有效缓解办法，建议有相关依赖的用户、应用更新

KubeSail免费容器：1核100MB空间512MB内存

*绑定GitHub账号完成登录注册
官网地址：https://kubesail.com/

破解 iCloud 锁教程

*通过appsync安装应用
*无需Apple ID
*使用checkra1n（需设备支持）