下面是一个非常简单的函数

选择结构switch()/case/default

Nginx历史上曾出现过多次解析漏洞，比如80sec发现的解析漏洞，以及后缀名后直接添加%00截断导致代码执行的解析漏洞。

但是在2013年底，nginx再次爆出漏洞（CVE-2013-4547），此漏洞可导致目录跨越及代码执行，其影响版本为：nginx 0.8.41 – 1.5.6，范围较广。

对于如何检测 Flash 中的 XSS，每个人都有自己的方法，无论是使用成型的自动化工具（比如 swfscan）还是自己开发自动化工具（先反编译，再对 actionscript 代码审计）还是直接人工对代码进行审计。都能够检测到 Flash 中存在的 XSS 漏洞。但是这些方法会存在一些问题，

访问传递参数

现在让我们扩展"hello, world"(2)中的示例，将其中main()函数中printf的部分替换成这样

#include <stdio.h>
int main()
{
    printf("a=%d; b=%d; c=%d", 1, 2, 3);
    return 0;
};

CPU简介

CPU就是执行所有程序的工作单元。

一直说要去写个浏览器安全策略系列，10篇安全策略的内容虽早已成竹在胸，但写出来却要花费好多时间。CSP这篇已于一个月前写出来，而后筹备Blog上线用了一段时间，不容易。FirstBlood，第一篇文章就献给阿尔法实验室和浏览器中一个伟大而又被忽略的安全策略CSP吧。好酒值得细细去品，好的安全策略也一样。废话少说，下面正式进入文章主题。

在被OpenSSL刷屏的时候，WordPress更新。
WordPress 3.8.2现在已经提供下载，最新的版本更新了几个重要的安全问题，所以推荐更新。
WordPress 3.8.2修复的一个重要漏洞是cookie伪造漏洞CVE -2014- 0166。该漏洞可以被攻击者利用通过伪造身份验证Cookie，登陆网站。该漏洞是由WordPress的安全团队成员Jon Cave发现。

我们发现Linux/ Mumblehard的原因来自于某天某网管联系我们，他的服务器因为不断发送垃圾邮件被列入了黑名单。我们dump了服务器上其中一个奇怪进程的内存，这玩意连接到了一个不同的SMTP服务器，并发送垃圾邮件。dump下来的内存显示这玩意是一个，唔，perl解释器，随之我们在/tmp目录发现了一个相关的可执行文件，并且立即开始着手分析，为了方便我们给这玩意起名Mumblehard。

Gopher 协议是 HTTP 协议出现之前，在 Internet 上常见且常用的一个协议。当然现在 Gopher 协议已经慢慢淡出历史。但是经过部分测试，发现阿里云的 libcurl 还是支持 Gopher 协议的，在实际环境中可能会有更多。

Gopher 协议可以做很多事情，特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache，也可以进行 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。

最近黑产利用腾讯邮箱的漏洞组合，开始频繁的针对腾讯用户实施攻击。

其利用的页面都起名为godlike.html，所以我们把这起攻击事件命名为godlike。

主要被利用的漏洞有3个, 一个 URL 跳转, 一个 CSRF, 另外一个就是 XSS

该漏洞于2013年9月11号提交，9月23号得到确认，10月2号发布补丁。
新出的0day，可以通过sql注入直接进入后台，并执行系统命令。
该漏洞已有metasploit利用模块，请使用Zabbix的公司注意及时打补丁。

RC4是美国密码学家Ron Rivest在1987年设计的密钥长度可变的流加密算法。它加解密使用相同的密钥，因此也属于对称加密算法。RC4曾被用在有线等效加密（WEP）中，但由于其错误的使用的方式已被有效破解，而如今，它又被TLS协议所放弃。

1.drops之前的文档SQLMAP进阶使用介绍过SQLMAP的高级使用方法，网上也有几篇介绍过SQLMAP源码的文章曾是土木人,都写的非常好，建议大家都看一下。
2.我准备分几篇文章详细的介绍下SQLMAP的源码，让想了解的朋友们熟悉一下SQLMAP的原理和一些手工注入的语句，今天先开始第一篇：流程篇。
3.之前最好了解SQMAP各个选项的意思，可以参考sqlmap用户手册和SQLMAP目录doc/README.pdf
4.内容中如有错误或者没有写清楚的地方，欢迎指正交流。有部分内容是参考上面介绍的几篇文章的，在此一并说明，感谢他们。