作者： 雨苁

Java Web安全之java基础-ClassLoader (类加载机制),javasec,Java是编译型语言，我们编写的java文件需要编译成后class文件后才能够被JVM运行，学习ClassLoader之前我们先简单了解下Java类。

云麦智能秤app账户接管漏洞,mass account takeover yunmai,绕过每个主账户 16 个家庭成员的限制,用户 ID 枚举,无效的授权检查,信息泄露,通过“密码重置”功能接管帐户.在一个内部物联网研究项目中，我们对云麦智能秤的安卓和iOS应用进行了渗透测试

通过滥用同源方法绕过CSP安装WordPress插件,如果攻击者使用此漏洞在主域（例如：website1.com – 不是 WordPress）中发现 HTML 注入漏洞，他们可以使用 WordPress 端点将无用的 HTML 注入升级为可以升级执行的完整 XSS RCE

大规模NDSW/NDSX恶意软件活动分析,该恶意软件由几层组成：第一层突出显示JavaScript 注入中的ndsw变量，第二层利用有效负载中的ndsx变量。我们的研究结果表明，攻击者会定期更改其 JavaScript 注入的混淆，同时保持这种可识别的 ndsw/ndsx模式

LuoYu使用Man-on-the-Side攻击部署WinDealer后门,它们利用包含幻数和标志的自制二进制协议，可以轻松识别和过滤大规模数据包。WinDealer 样本不包含硬编码的 C2 服务器，而是依靠复杂的 IP 生成算法来确定要联系哪台机器