全自动区分计算机和人类的图灵测试（英语：Completely Automated Public Turing test to tell Computers and Humans Apart，简称CAPTCHA），俗称验证码。CAPTCHA这个词最早是在2002年由卡内基梅隆大学的路易斯·冯·安、Manuel Blum、Nicholas J.Hopper以及IBM的John Langford所提出。CAPTCHA是一种区分用户是计算机或人类的公共全自动程序，在CAPTCHA测试中，作为服务器的计算机会自动生成一个问题让用户来解答。这个问题可以由计算机生成并评判，但是必须只有人类才能解答。因为计算机无法解答CAPTCHA的问题，所以回答出问题的用户就可以被认为是人类。

这篇文章主要讲了如何在模拟环境下调试设备固件。

作者：Zach Cutlip

原文链接：http://shadow-file.blogspot.gr/2015/01/dynamically-analyzing-wifi-routers-upnp.html。

31c3 CTF 还是很人性化的，比赛结束了之后还可以玩。看题解做出了当时不会做的题目，写了一个writeup。
英文的题解可以看这里https://github.com/ctfs/write-ups/tree/master/31c3-ctf-2014/web
0x01 pCRAPp

前几天有个人在某大会上讲了一个在perl中存在了20年的问题。作为一个只会perl不会python的人，真的很心痛。看完视频后感觉被黑的吃不下东西。

这俨然就是一场对perl的吐槽批斗大会，整个演讲充满了sucks、fuck等和谐词汇，也能看出演讲者是多么的义愤填膺，场下一次次的鼓掌和附，嗯，让我想起了郭德纲。

前段时间在zone里看到有人问4A的渗透测试，本人正好接触过几款4A和堡垒机产品，今天抽空就总结下个人在渗透中遇到的4A问题。

前言：Stephen的这篇文章是Project Zero的第一篇客座文章。我们将不时的推出顶级安全研究的客座文章。这篇文章里，这些漏洞的远程利用性质以及导致远程代码执行的错误链和特性让我们印象深刻。你可能已经看到最近的ntpd漏洞披露，这篇文章由发现这一漏洞的研究者来讲述这一故事。

没有人质疑php的简单强大，它提供了很多特性供开发者使用，其中一个就是弱类型机制。

在弱类型机制下 你能够执行这样的操作

本文是为了揭示那些被忽视的开发安全问题，主要针对基础设施部署环境基础解决方案包括(内部、外部、云环境)。

PcShare是一款功能强大的远程管理软件，可以在内网、外网任意位置随意管理需要的远程主机，该软件是由国内安全爱好者无可非议开发。在当时这款远控在大家应该比较熟悉了，VC编译器调出来的的小体积全功能木马。相比Delphi的灰鸽子真是碉堡了！

本文为《小学生科普系列》的番外篇，本系列面向小学生，纯科普，大牛莫喷~

教程中所有内容仅供学习研究，请勿用于非法用途，否则....我也帮不了你啊...

说起注入，大家第一印象可能还习惯性的停留在sql注入，脚本注入（XSS）等。今天light同(jiao)学(shou)带大家从web端回到操作系统，一起探讨Windows下的经典注入——内存注入，使用python编写一个简单的代码注入程序。

jother编码是我最开始想写的内容，原因有两点：1.原理比较简单，不需要太多关于算法的知识。2.比较有趣，是在对javascript有了很深的理解之后催生的产物。如果你只需要知道jother编码和解码的方法，那么你可以直接跳过文章正文看结论部分。如果你想知道其中的原理那么你可以带着这个疑问和我一起开始jother探索之旅。

研究常见的https攻击方法

Beast crime breach，并针对https的特性提出一些安全部署https的建议。

针对于HTTPS的攻击，多存在于中间人攻击的环境中，主要是针对于HTTPS所使用的压缩算法和CBC加密模式，进行side-channel-attack。这几类攻击的前置条件都比较苛刻，且都需要受害主机提交很多次请求来收集破译关键数据的足够信息。

Broadcast Recevier 广播接收器是一个专注于接收广播通知信息，并做出对应处理的组件。很多广播是源自于系统代码的──比如，通知时区改变、电池电量低、拍摄了一张照片或者用户改变了语言选项。应用程序也可以进行广播──比如说，通知其它应用程序一些数据下载完成并处于可用状态。 应用程序可以拥有任意数量的广播接收器以对所有它感兴趣的通知信息予以响应。所有的接收器均继承自BroadcastReceiver基类。 广播接收器没有用户界面。然而，它们可以启动一个activity来响应它们收到的信息，或者用NotificationManager来通知用户。通知可以用很多种方式来吸引用户的注意力──闪动背灯、震动、播放声音等等。一般来说是在状态栏上放一个持久的图标，用户可以打开它并获取消息。

CVE-2014-9390是最近很火的一个漏洞，一个git命令就可能导致你被黑，我不打算深入探讨这个漏洞的细节，官方已经在https://github.com/blog/1938-git-client-vulnerability-announced和http://article.gmane.org/gmane.linux.kernel/1853266发布了详细信息。总之，如果你使用了大小写不敏感的操作系统例如Windows或OSX，你应该更新git客户端了。

宇龙酷派是中国第三大以及全球第六大智能手机生产厂商。最近我们研究发现许多高端酷派手机在预装软件均包含一个后门程序，我们将此后门称为：CoolReaper

在看到许多酷派用户反馈手机上的可疑现象后，我们下载了多个中国区发行的官方固件，其中大多数都包含了coolreaper这款后门应用。