任何开启了Pingback（默认就开启）的WordPress的站点可以被用来做DDOS攻击其它服务器。

看如下日志：

Apple在最新发布的iOS 7.1系统上，修复了可能导致代码执行以及其他的一些漏洞，这个新版本的发布仅仅是在Apple为了修复SSL证书验证错误而发布iOS 7.06之后两个周。

2月24至2月28日，绿盟科技出席在美国旧金山召开的2014年RSA大会。本次是绿盟科技第七次参展该盛会。每年一度的RSA大会是信息安全行业最为重要的盛事，各行业领域的安全专家和厂商齐聚一堂共同分享安全专业技能、最新的安全趋势和创新科技，探讨企业面临的重要安全问题及解决办法。本年度的主题是：分享、学习与保护——运用集体智慧（Share. Learn. Secure. Capitalizing on Collective Intelligence）。

GnuTLS的bug与Apple goto fail的bug都导致了验证TLS和SSL证书问题，但是他们两个实际上并非是同一个，虽然都是把假的证书也当成有效的证书。
霍普金斯大学的一位密码学教授说：“GnuTLS是一个编码错误，返回了错误的变量，而苹果可能是一个剪切和粘贴的失误。”

Shell注入(Shell Injection)，也被称为命令注入(Command Injection)，虽然不是最经常提及或发现的漏洞，但是危害巨大。

最近苹果的那一行没有验证SSL证书的bug代码，闹的纷纷攘攘，其实历史上也有很多出现类似的代码，让我们来回顾一下。

前两天，乌云白帽子提交了两个DedeCMS的通杀注入漏洞，闹得沸沸扬扬，25号织梦官方发布了补丁，于是就下载最新代码回来做了对比，这里简单的分析下其中的一个注入。

你知道计算机病毒可以直接在WiFi之间传播吗，在英国利物浦大学的安全研究人员已经证明了这种WiFi病毒，可以像人类感冒一样在计算机网络之间传播。

这种病毒是找到热点的固件漏洞，然后替换成病毒版本的固件，然后通过无线网络感染其他存在固件漏洞的热点。

有安全研究人员发现了苹果的另一个漏洞，可以被用来记录你在iOS设备上的每一个动作。
FireEye声称，此漏洞利用的是iOS在多任务处理时的缺陷。
FireEye发现了一种可以绕过苹果的应用审查过程，并在非越狱的iOS7上成功利用。
恶意app可以在后台运行，允许黑客监视用户的所有活动，包括触摸屏，home按键，音量按钮，并将收集的数据发送到远程服务器上。

去年10月中旬，腾讯安全中心在日常终端安全审计中发现，在Android平台中使用https通讯的app绝大多数都没有安全的使用google提供的API，直接导致https通讯中的敏感信息泄漏甚至远程代码执行。终端安全团队审计后发现，腾讯部分产品及选取的13款业界主流app均存在此漏洞。

Tinder是国外的一款手机交友APP，这款应用在推出的两个月内，推荐匹配了超过 100 万对的爱慕者（双方第一眼互有好感），并获取了 3500 万个用户的账号打分。而它最初的着力点，正是在校园。它的功能实际很简单：基于你的地理位置，应用每天为你“推荐”一定距离内的四个对象，根据你们在 Facebook 上面的共同好友数量、共同兴趣和关系网给出评分，得分最高的推荐对象优先展示。

美国时间上周四，有一份超过2000的Tesco.com网站用户的账号信息在互联网上被公开，可以进入上述商户的在线商城账号，并查看个人详细信息以及Tesco的优惠劵。

在美国时间周三晚上，Kickstarter被执法人员通知有黑客入侵，并且获取了部分客户的数据。

FireEye实验室确认，在美国的一个违法网站上发现了一个新的IE 10的0day，这是一个经典的偷渡式攻击。这个0day攻击成功后，会从远程服务器下载一个XOR编码的payload，然后解码并执行。

发表这个声明是为了警示广大网民，FireEye正在与微软安全团队合作进行防御。

本文来自于《Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters》其中的bypass xss过滤的部分，前面有根据WAF特征确定是哪个WAF的测试方法给略过了，重点来看一下后面绕xss的一些基本的测试流程，虽说是绕WAF的，但这里还是根据WAF中的正则缺陷来绕过测试方法，并不是协议上问题，所以呢，基本可以通用于其他xss过滤的场景。方便新手们比较快速的了解到测试xss的一些基本的方法。