最近看了一篇文章GitHub's CSP journey，作者是GitHub工程师Patrick Toomey，文中分享了GitHub在 应用CSP (Content Security Policy) 上一些经历和踩过的坑，并给出了一些实际的案例来说明策略设置的原因，很具有参考意义。

Metasploit——渗透测试神器，相信大家应该都用过或听过，drops里也有很多白帽子写过相关的文章，介绍如何使用Metasploit。使用过Metasploit的同学应该知道，Metasploit Framework是高度模块化的，即框架是由多个module组成，我们除了可以使用已有的 module，还可以自行编写module来满足自己的需求，模块化使得框架具有很好的可扩展性，这也是为什么Metasploit Framework这么受欢迎的原因之一。

前几天在hackerone上看到一个imgur的SSRF漏洞，url为：https://imgur.com/vidgif/url?url=xxx，参数url没有做限制，可以访问内网地址。请求过程中使用到了liburl库，并且liburl配置不当，可以让攻击者使用除http(s)之外的多个libcurl protocol wrappers，比如ftp://xxx.com/file会让服务器发起ftp请求。

如果你的应用中使用了动态渲染路径 (dynamic render paths) ，如渲染params[:id]，通过本地文件包含（local file inclusion），可能会导致远程代码执行。可以通过更新到Rails的最新版本，或重构你的controllers来修复漏洞。

文章主要介绍了在特定的场景下，Ruby on Rails框架的一个缺陷导致攻击者能够远程执行代码。

最近，WeipTech（威锋技术组）分析了一些用户报告的可疑iOS应用，发现了存储在某服务器上超过22,5000个有效的Apple账户和密码。
通过与WeipTech的合作，我们（Paloalto）识别了92个尚未发现过的恶意软件样本。为了找出恶意软件作者的意图，我们对样本进行了分析，并将这个恶意软件家族命名为“KeyRaider”。从结果来看，我们相信这是有史以来因恶意软件所造成的最大Apple账号泄露事件。