热搜话题榜单

WP插件bbPress曝存储式XSS漏洞 涉危网站超30万

近日，WordPress母公司Automattic发布了bbPress 2.5.9，这一版本的bbPress中，修复了一个高危存储式XSS漏洞。据悉，该漏洞影响范围覆盖了bbPress 2.5.9之前的所有版本，受影响站点数量多达30万……

WordPress曝存储型XSS漏洞，影响4.1.2以下版本

WordPress官方在4月21日发布了新的版本4.1.2，其中提到修复了一个严重的存储型XSS漏洞。不久之后便有人给出了漏洞的细节。

搜狐视频XSS漏洞遭利用 千万用户成DDOS肉鸡

昨日，日本CDN服务商Incapsula撰文，称其一位用户遭受了一起特殊的应用层DDos攻击（分布式拒绝服务攻击），本次攻击中黑客使用的是流量劫持技术。

美国网络安全企业于2016年向阿联酋出售了iMessage漏洞利用工具

《MIT 科技评论》周三援引知情人士的话称：美国网络安全公司 Accuvant 开发一款 iMessage 漏洞利用工具，并将之出售给了为阿联酋工作的美国雇佣兵。作为阿布扎比“Karma”间谍项目的一部分，据称有数百人遭到了侵入。Apple Insider 指出，阿联酋在 2016 年采购并部署了这一 iPhone 漏洞利用工具，受害者中包括了不同政见者、活动人士、甚至外国领导人。尽管尚不清楚 iMessage 攻击媒介的运作方式，但 Accuvant 也将相同的漏洞出售?

Wordpress 4.2.3发布 修复高危XSS漏洞

近日，Wordpress新版本发布了。据悉，Wordpress 4.2.3版本修复了旧版中存在的高危XSS（Cross-Site Scripting）漏洞，黑客可利用该漏洞入侵网站，数百万站点存在安全隐患。

Discuz X2安全研究报告：SQL与XSS注入漏洞分析

近日，DiscuzX2被爆出了两个0day，一个是SQL注入漏洞，攻击者可利用该漏洞获取到用户名与密码，另一个是XSS注入漏洞，攻击者可实现网站挂马、网站钓鱼等行为，目前官方已发布了相关安全补丁，以下内容是Nevel安全团队的IMIYOO针对disucz X2所做的漏洞分析报告。

饭否重开首日惊现XSS漏洞攻击

经历了505天关闭后，饭否终于重开了，这无疑是这几天网友们讨论的最多的话题了。但有喜有忧，今日，就在饭否网重开的首日，笔者了解到，知道创宇旗下的Scanv网站安全体检中心（www.scanv.com）已率先截获了针对于饭否网的攻击方式。

如何在php中修补XSS漏洞

这些函数主要用于清除HTML标志，这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ，它可以将所有的“<”与“>”符号转换成“<” 与“>；”。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体（entities）替换掉所有想要替换掉的特征码（char

所谓新云XSS跨站漏洞全公布

这二天忽然网上暴出说新云出现新漏洞了。一看原来是XSS漏洞,并且公布出来了,文章的名字命的看起来这个漏洞也挺高危的:“新云又出跨站漏洞-通杀所有版本_众多黑客站被检测”。

开发者怒斥微软Xbox：指责XSS限制了一整代游戏发展

一名游戏开发者透露，正在开发中的《哥谭骑士》主机版将不会有性能模式，游戏最高也只支持30帧...该开发者表示，之所以放弃性能模式与60帧，是因为XSS作为次世代主机的性能太过羸弱，但游戏开发又必须考虑这一平台，并指责XSS束缚了整整一代游戏的发展...以《赛博朋克2077》为例，它在XSX和PS5上，最高到支持4K60帧的输出，而针对性能较弱的XSS，则量身定做了1080P60帧的输出模式，而这也是大部分次世代游戏的做法......

Xbox预览体验成员现可自定义XSX和XSS手柄上的分享按钮

好消息是，在周一的 Xbox Insider（Alpha Ring）更新中，这家雷德蒙德软件巨头终于解禁了分享按钮的自定义体验...Xbox 团队在 Alpha 测试版更新的发行说明中写道，感兴趣的玩家可借助“Xbox Accessories”应用程序来重新映射“分享”按钮...分享按钮还支持单击、双击和长按操作，并可分别重映射为不同的任务...本次更新后，玩家可轻松重映射“分享”或其它按钮、启用无数的可访问选项，比如高对比度、夜间模式和色彩滤镜等...

安全人员发现去年可利用的WordPress插件漏洞数量爆炸性增长

去年安全分析人员发现可利用的WordPress插件漏洞的数量爆炸性增长。来自RiskBased Security的研究人员报告说，他们发现在2021年，WordPress插件漏洞的数量增加了三位数。据报道，在2021年底，有10359个漏洞影响第三方WordPress插件，其中，2240个漏洞是在去年披露的，与2020年相比，漏洞数量增加了142%。更糟糕的是，在这些额外的WordPress插件漏洞中，超过四分之三（77%）是已知的、公开的漏洞。报告发现，有7592个WordPress漏洞?

漏洞利用接踵而至：Apache为Log4j发布2.17.0新版补丁修复

在 Log4j 漏洞曝光之后，Apache 软件基金会于上周二发布了修补后的 2.17.0 新版本，并于周五晚些发布了一个新补丁。官方承认 2.16 版本无法在查找评估中妥善防止无限递归，因而易受 CVE-2021-45105 攻击的影响。据悉，这个拒绝服务（DoS）攻击的威胁级别相当之高，CVSS 评分达到了 7.5 / 10 。

微软警告比SolarWinds影响更深远的Log4j2漏洞利用

微软再次发出了来自具有深厚背景的黑客组织的网络攻击预警，可知问题源于 Java 日志库的 Log4j2 漏洞（CVE-2021-44228）。这家雷德蒙德科技巨头指出，世界多地的黑客已开始利用这项更复杂的日志协议技术，来远程访问受害者的设备。目前观察到的大部分攻击，主要涉及各路人马的大规模扫描。据悉，微软旗下的多个威胁情报团队 —— 包括 MSTIC 威胁情报中心、 Microsoft 365 Defender 威胁情报团队、RiskIQ 和 DART 检测响应团队 —?

《战地2042》全平台画面测试结果出炉：PS5部分表现不如XSS 翻车严重

近日，《战地》系列的新作《战地2042》开启了抢先体验，订购了EA Play Pro的玩家和购买了黄金版或终极版的玩家都已经能够进入游戏，而在几天的测试后，油管博主ElAnalistaDeBits惯例放出了该作的多平台画面测试结果。令人没有想到的是，有着优秀理论性能的PS5主机在部分项目上的表现居然不及售价两千多元的入门级主机Xbox Series S，相当出人预料。在测试中，ElAnalistaDeBits将一台搭载RTX 3080显卡的高配PC上把《战地2042》的全?

研究人员公布BrakTooth蓝牙漏洞利用代码 CISA敦促供应商尽快修复

随着公开漏洞利用代码和一款概念验证工具的发布，美国网络与基础设施安全局（CISA）也及时地向供应商发去了通报，以敦促其尽快修复影响数十亿设备（手机 / PC / 玩具）的拒绝服务（DoS）和代码执行攻击漏洞。ThreatPost 指出，用于测试新曝光的蓝牙 BrakTooth 漏洞的概念验证工具的保密期已结束，相关测试套件和完整漏洞利用代码现已向公众开放访问。BrakTooth 漏洞检测与利用工具概念验证代码已上线 GitHub（来自：CISA）据悉，Br

俄罗斯著名黑客论坛XSS禁止所有勒索软件话题

最受欢迎的俄语黑客论坛之一XSS已经禁止了所有宣传勒索软件的话题，以防止不必要的关注。XSS是一个讲俄语的黑客论坛，创建的目的是分享有关利用漏洞、恶意软件和网络渗透的知识。随着勒索软件的兴起，勒索软件即服务（RaaS）团伙，如REvil、LockBit、DarkSide、Netwalker、Nefilim，越来越多地利用该论坛来招募新人/合作伙伴来进行操作。在DarkSide加密了Colonial Pipeline并破坏了美国燃料管道的运作后，执法部门和安全研究人员越

赶紧更新！黑客正积极利用多个WordPress插件零日漏洞

由于WordPress有着大量的用户，也就成为攻击者的目标。据报道，今年 2 月份以来，针对WordPress网站的攻击越来越频繁。几家专门从事WordPress安全产品的网络安全公司，如Wordfence、WebARX和NinTechNet，已经报道了对WordPress站点的攻击数量不断增加。

注意了！黑客利用WordPress插件严重漏洞向受害网站植入恶意代码

Wordfence的最新研究称，有攻击者从上个月开始使用流氓管理员帐户对WordPress网站发起攻击，目前攻击仍在继续。

WordPress 插件漏洞被利用，近 20 万站点还没打补丁

攻击者正在利用两个广泛使用的 WordPress 插件中的严重漏洞，以入侵托管站点，影响站点数量众多。前几天我们才报导过流量排名前一千万网站，三分之一使用 WordPress，这么广泛的采用，一旦其中有安全漏洞被利用，影响会相当广。