在7月6日至10月6日期间，我本人Brett Buerhaus，Ben Sadeghipour，Samuel Erb和Tanner Barnes一起工作，并入侵了Apple Bug赏金计划。山姆咖喱（@samwcyo）布雷特·布尔豪斯（@bbuerhaus）Ben Sadeghipour（@nahamsec）塞缪尔·埃尔布（@erbbysam）坦纳·巴恩斯（@_StaticFlow_）在参与过程中

编者按近源渗透（物理渗透）是红蓝对抗演练中的一个关键点，从相关新闻及实际测试结果来看，许多企业线上部署各种安全设备严阵以待，结果马奇诺防线在线下被物理渗透绕过 —— 物理安全或许就是部分企业的短板。本期TSRC特别邀请到腾讯企业IT部蓝军团队成员、《黑客大揭秘：近源渗透测试》第二作者杨芸菲（yyf），他将撰文与大家一起探讨近源渗透攻防。同时也向对近源渗透感兴趣的同志推荐该书。前言近源渗透是这两年常

计算机使用网络进行通信。这些网络可以位于局域网LAN上，也可以暴露于Internet。网络嗅探器是捕获通过网络传输的低级程序包数据的程序。攻击者可以分析此信息，以发现有价值的信息，例如用户ID和密码。在本文中，我们将向您介绍用于嗅探网络的常见网络嗅探技术和工具。我们还将研究可以采取的对策，以保护通过网络传输的敏感信息。什么是网络嗅探？计算机通过使用IP地址在网络上广播消息进行通信。在网络上发送消息

什么是IP和MAC地址IP地址是Internet协议地址的缩写。Internet协议地址用于唯一标识计算机或设备，例如打印机，计算机网络上的存储磁盘。当前有两个版本的IP地址。IPv4使用32位数字。由于Internet的迅猛发展，已经开发了IPv6，它使用128位数字。IPv4地址的格式为四组数字，中间用点分隔。最小数为0，最大数为255。IPv4地址的示例如下所示；127.0.0.1IPv6地

作者｜ 腾讯蓝军 jumbo红蓝对抗越加普遍及重要，甚至成为了大型赛事，随之⽽来的是防守方大量部署安全设备，如FW、WAF、IDS、IPS等，想要从Web端深⼊到对⽅内⽹已经困难重重。但是，⼈永远是最⼤的弱点，在日渐增多的防护设备⾯前，钓⻥攻击（Phishing）已经成为对抗中&

当我们渗透测试已经走到登录页面时，有哪些思路来作为本次渗透的切入点呢本文会分享关于登录页面测试一些常规的思路(水平有限，如果有缺有错，师傅们多带带)1.暴力破解对于用户名密码明文传输的登陆点。

1.bWAPPbWAPP，或者一个有缺陷的web应用程序，是一个免费的、开源的、故意不安全的web应用程序。是什么让bWAPP如此独特？嗯，它有超过100个网络漏洞！它涵盖了所有已知的主要web错误，包括来自OWASP Top 10项目的所有风险。bWAPP是一个使用MySQL数据库的PHP应用程序。它可以通过Apache/IIS和MySQL托管在Linux/Windows上。它也可以与WAMP或

某企业授权渗透报告https://www.freebuf.com/articles/network/243831.html渗透经验分享之SQL注入思路拓展https://xz.aliyun.com/t/7919从0到1学会搭建小型企业拓扑到由外向内的渗透测试https://www.anquanke.com/post/id/208992某大学渗透测试实战靶场报告-Part1https://mp.we

北京时间2020-6-22日Apache官方发布了Dubbo 2.7.7版本，其中修复了一个严重的远程代码执行漏洞（CVE-2020-1948），这个漏洞是由腾讯安全玄武实验室的ruilin提交，该漏洞允许攻击者使用任意的服务名和方法名发送RPC请求

一、DVWA官网：http://www.dvwa.co.uk/ 进入官网点击右上角框处的地方点击一下。点击后直接跳转GitHub平台，然后点击绿色图标，然后下载ZIP格式文件。二、下载一个环境，虚拟环境可以使用win7以及20008R2等phpStudy集成环境下载 - https://m.xp.cn/  如：你的虚拟系统是多少位就选择多少位 -三、因为我已经把虚拟系统安装好了，系统安装这块就先跳

在2019年，McAfee Advanced Threat Research（ATR）披露了一个名为BoxLock的产品中的一个漏洞。此后的某个时间，英国公司iParcelBox的首席执行官与我们联系，并提出发送其一些产品进行测试。尽管这不是我们研究的典型MO，但我们赞扬该公司积极开展安全工作，因此，由于iParcelBox的团队很友好，可以将所有东西都交付给我们，因此我们决定看看。iParcel

从1月份入坑到现在，已经5个月了。这五个月来一直在刷edusrc，并且在本月初成功达到了总榜第五名。很多人问我如何快速批量刷站？那么，他来了。本次分享一次对自己学校的一次安全检测实战文章。帮助萌新理清思路，同时，欢迎各位大佬指点不足。0x01先看学校的域名ip地址注意:这里我建议不要看主域名的，看二级域名的ip地址。因为一些地区的职业院校都是集中统一在一台服务器上的，只有一些二级域名才会搭建在学校

今天分享的是作者在众测过程中实现的一次性验证密码（OTP）绕过技巧，通过拦截修改响应中的内容即可有效绕过OTP，姿势非常简单，但也值得学习借鉴，一起来看看。漏洞发现假设目标网站为example.com，当我在其中创建了用户账号之后，我的注册邮箱中就收到了一个一次性验证密码（OTP），该OTP目的是通过验证邮箱来确认我的身份。开启Burp抓包后，我输入了正确的OTP后，请求的响应简洁明了，其中包含一

漏洞简介近日，joomla官方给出了一个安全公告。从公告可知Joomla! CMS versions 2.5.0 - 3.9.16版本在处理用户组时缺少对根用户组的检查，从而导致了一个提权漏洞的产生(CVE-2020-11890)。

本文没有getshell,漏洞已报送至教育行业漏洞平台,经验证漏洞已修复。我挖的是edu.cn的漏洞，使用了oneforall进行子域名搜集，在看到一个标题为“某某某管理信息系统”的站点，就上手了。1.任意密码重置账号 admin 密码123456（只要是数字就会自动进入修改密码页面）提示我们需要改密码。我们修改成 abc123456抓包，抓响应包。这里面有许多学号与身份证信息，我保留下来两个作为

前言前些日子在h1溜达的时候发现时看到国外的一位师傅对短信身份验证的安全风险，进行了总结，我将其翻译过来并结合自己以往的一些测试经验进行补充。涉及到的安全风险账户接管这个是短信身份验证最严重的安全风险，攻击者可以窃取任意用户的账户，甚至是事先不知道用户的手机号码用户模拟与上面的类似，但是这个的风险取决于具体的服务。通常，如果可以进行模拟，由于确认机制相同，因此也有可能窃取已注册的帐户。短信轰炸短信

近时间某朋友分享一公众号发现是一个Qp-0day，那么这个0day也是有一段老久的时间了，本来我不想拿出来写的，不过那位老哥分享的工具是挺不错的；直接把APP安装包怼进去运行就可以获取APP的ip、url、hash、key等，还可以把安装包丢到360显微镜扫一扫，扫的过程的话一般都是低位；主要还是看个人如何去利用吧！这里就不多哆嗦了！那么QP 0day，我看了一下利用方式简直哪里是0day，就是普

前言在内网渗透时，一个WebShell或CobaltStrike、Metasploit上线等，只是开端，更多是要内网横向移动，扩大战果，打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”，才能进一步攻击。可实战中因为网络环境不同，所利用的方式就不同。以下为自我总结“实战中内网穿透的打法”思维导图：目标出网（socks代理）这是实战中最愿意碰到的网络环境，目标机可以正常访问互联网，可直

在说到短信轰炸和邮箱轰炸，可能大家都遇到过，思路可能也就停留在那几个点，这篇文章我会带你进入各种思路下的不一样的短信邮箱轰炸问题。

之前写的文章收到了很多的好评，主要就是帮助到了大家学习到了新的思路。自从发布了第一篇文章，我就开始筹备第二篇文章了，这篇文章我可以保障大家能够学习到很多思路。之前想准备例子视频，请求了很多家厂商进行授权，但是涉及漏洞信息方面的，厂商都是很严谨的，所以，整个过程没有相关的实际例子，但是我尽可能的用详细的描述让大家能够看得懂。大家不要睡着呦~说到APP手势密码绕过的问题，大家可能有些从来没接触过，或者

分子通过特斯拉的一名员工将特斯拉作为目标客户，据称他们承诺向特斯拉支付100万美元，以帮助他们用恶意软件感染该公司的系统。幸运的是，这种犯罪行为遭到了一名正直的员工的挫败，但它突显了恶意攻击者在企图危害公司网络并获取敏感信息的过程中变得多么卑鄙。内部人作为脆弱点的风险特斯拉网络攻击突显了内部人员（例如员工）对公司数据造成的漏洞。即使组织通过部署防火墙，防病毒系统，渗透测试和恶意软件防护来增强安全性

详情IBM Security Access Manager 9.0.7和IBM Security Verify Access 10.0.0容易受到HTTP响应拆分攻击的攻击。远程攻击者可以使用特制URL来利用此漏洞，一旦单击URL，服务器将返回拆分响应。这将使攻击者可以进行进一步的攻击，例如Web缓存中毒，跨站点脚本编写，并可能获取敏感信息。IBM X-Force ID：165960。原始资料网址

谷歌安全研究人员在Linux内核中发现了蓝牙漏洞（BleedingTooth），该漏洞可能允许零点击攻击。谷歌安全研究员安迪·阮（Andy Nguyen）在Linux内核中发现了蓝牙漏洞，称为BleedingTooth，攻击者可以利用该漏洞运行任意代码或访问敏感信息。BleedingTooth缺陷被跟踪为CVE-2020-12351，CVE-2020-12352和CVE-2020-24490。其中

风险低可用补丁没有漏洞数量5CVE IDCVE-2020-6104CVE-2020-6108CVE-2020-6107CVE-2020-6106CVE-2020-6105CWE编号CWE-125CWE-787CWE-200CWE-73开发矢量本地公开利用不适用安全咨询1）越界读取风险：低CVSSv3：4.1 [CVSS：3.0 / AV：L / AC：L / PR：H / UI：N / S：U /

2020年10月13日，阿里云应急响应中心监测到微软发布补丁修复了TCP/IP远程执行代码漏洞（CVE-2020-16898），官方评级严重。目前微软官方已提供相应的月度安全补丁以修复该漏洞。漏洞描述微软官方于10月13日发布安全更新，其中修复了一个TCP/IP远程执行代码漏洞（CVE-2020-16898），攻击者通过构造并发送恶意的ICMPv6（路由通告）数据包，从而控制目标主机。同时，微软1

总览Acronis True Image，Cyber Backup和Cyber Protection都包含特权升级漏洞，这些漏洞可以使没有特权的Windows用户能够以SYSTEM特权运行任意代码。描述CVE-2020-10138Acronis Cyber Backup 12.5和Cyber Protect 15包含一个OpenSSL组件，该组件将OPENSSLDIR变量指定为的子目录C:\jen

2020年10月13日，阿里云应急响应中心监测到Apache Solr发布安全更新，其中修复了CVE-2020-13957 Apache Solr configset upload文件上传漏洞。攻击者通过构造特定的请求，成功利用该漏洞可直接获取服务器权限。漏洞描述Apache Solr是一个开源的搜索服务，使用Java语言开发。Apache Solr Configset Api上传功能存在未授权漏

风险中可用补丁是漏洞数量2CVE ID不适用CWE编号CWE-79CWE-89开发矢量网络公开利用不适用易受攻击的软件phpMyAdminWeb应用程序/远程管理和托管面板

安全漏洞影响IBM Cloud Pak for Data-Node.js（CVE-2019-15606，CVE-2019-15604，CVE-2019-15605）风险：中危受影响的产品和受影响的版本：受影响的产品版本IBM Cloud Private for Data2.5请参考以下参考URL以获取补救和其他漏洞详细信息： 源公告：https://www.ibm.com/support/page

Liberty for Java for IBM Cloud中使用的IBM WebSphere Application Server Liberty中存在拒绝服务漏洞。受影响的产品和受影响的版本：受影响的产品版本Java自由3.48请参考以下参考URL以获取补救和其他漏洞详细信息： 源公告：https://www.ibm.com/support/pages/node/6343329

Windows域控制器中的一个新漏洞已被发现。在9月发表的一篇论文中，Secura的研究人员发现了一个加密漏洞，并将其称为Zerologon。它利用了身份验证过程中使用的Netlogon远程协议。所有的，它需要利用这个漏洞-和妥协各种各样的活动目录身份服务-是一个TCP级连接到域控制器本身。Secura在Github上发布了一个测试工具，可以告诉您域控制器是否容易受到攻击。这一发现导致CISA（美

发布时间：2020年9月30日风险低可用补丁是漏洞数量2CVE IDCVE-2020-3416CVE-2020-3513CWE编号CWE-749开发矢量本地公开利用不适用安全咨询1）暴露的危险方法或功能风险：低CVSSv3：5.8 [CVSS：3.0 / AV：L / AC：L / PR：H / UI：N / S：U / C：H / I：H / A：H / E：U / RL：O / RC： C][

如果Firefox打开了恶意网站，则可能会使其崩溃或运行程序作为您的登录名。==========================================================================Ubuntu安全公告USN-4546-12020年9月28日火狐漏洞======================================================

漏洞描述攻击者可以通过OpenSSH的scp Backticks使用漏洞来运行代码。此计算机威胁公告影响到软件或系统，例如BIG-IP硬件，TMOS和OpenSSH。信任级别是由编辑者确认的类型，带有用户帐户的来源。提供了概念证明或攻击工具，因此您的团队必须处理此警报。具有技术能力的攻击者可以利用此网络安全警报。解决此威胁的方法OpenSSH：scp反引号的解决方法。一种解决方法是过滤位于提供给调

在发布任何严重的安全错误时，数十名熟练的攻击者都试图将其用于攻击。类似的情况发生在一个新的严重安全漏洞中，该漏洞的CVSS分数为10/10，被跟踪为CVE-2020-1472，并命名为Zerologon。最新更新是什么？Microsoft在其Twitter帐户上发布了一系列推文，其中包含有关Zerologon漏洞的警告，攻击者正在主动使用这些漏洞来瞄准Windows域控制器。Microsoft还提

CVE-2020-3153CVE-2020-3153的POC代码-Cisco Anyconnect路径遍历漏洞在此处阅读有关此漏洞的更多信息：https://ssd-disclosure.com/ssd-advisory-cisco-anyconnect-privilege-elevation-through-path-traversal/要获得具有SYSTEM特权的桌面Windows Shell

Cisco IOS XE软件的Web服务器身份验证中的漏洞可能允许经过身份验证的远程攻击者破坏设备上的Web服务器。该漏洞是由于身份验证期间输入验证不足所致。攻击者可以通过在有效身份验证期间输入意外字符来利用此漏洞。成功的利用可能使攻击者使设备上的Web服务器崩溃，必须通过禁用和重新启用Web服务器来手动恢复该Web服务器。思科已经发布了解决此漏洞的软件更新。没有解决此漏洞的解决方法。可通过以下链

根据我们的安全性发布政策，Django团队正在发布 Django 3.1.1， Django 3.0.10和 Django 2.2.16。这些版本解决了下面详述的安全问题。我们鼓励Django的所有用户尽快升级。CVE-2020-24583：Python 3.7+上的中级目录的权限不正确在Python 3.7及更高版本上，当使用collectstatic管理命令时，FILE_UPLOAD_DIRE

近日，阿里云应急响应中心监测到Openwall社区披露一个Linux内核AF_PACKET原生套接字内存破坏漏洞，该漏洞出现在net/packet/af_packet.c中，由整数溢出导致越界写，可以通过它进行权限提升。该漏洞危害评级为高，编号为CVE-2020-14386。漏洞描述Linux发行版高于4.6的内核版本net/packet/af_packet.c中，在处理AF_PACKET时存在整

随着iOS 14的发布，Apple引入了一项新功能，当用户存储的密码因数据泄露而受到破坏时，会向用户发出警告。iOS包含钥匙串密码管理器，该密码管理器允许用户保存凭据并将其自动填写到网站和应用程序的登录表单中。密码管理器可在“设置” “ 密码”下找到，访问时，可让您查看所有已保存的密码或添加其他密码。在iOS的早期版本中，钥匙串密码管理器会警告用户是否使用了容易猜测或破解的密码，并会提示您进行更改

Windows的一个鲜为人知的功能允许红色团队或攻击者将服务隐藏在视线之外，从而有机会规避基于主机的常见威胁搜寻技术的检测。在最近的一次红队交锋中，我的球队与一些训练有素，经验丰富的后卫对抗。我们构建了自定义恶意软件来逃避预期的EDR平台，但我们知道主机分析最终将使我们陷入困境，并迅速从目标组织中撤离。PSC:\WINDOWS\system32Get-Service-NameSWCUEngine

Microsoft已发布安全更新，以解决影响Windows Codecs库和Visual Studio Code的远程代码执行漏洞。攻击者可能利用这些漏洞来控制受影响的系统。网络安全和基础结构安全局（CISA）鼓励用户和管理员查看CVE-2020-17022和CVE-2020-17023的Microsoft安全公告，并应用必要的更新。

美国网络司令部（USCYBERCOM）警告，用户应为Microsoft软件应用最新补丁，以确保他们不会成为利用攻击的受害者。美国网络司令部指出，这些问题中最重要的是CVE-2020-16898，这是Windows TCP / IP堆栈中的关键错误，可以远程触发该漏洞，从而有可能在受害计算机上实现远程代码执行。尽管远程代码执行可能不容易实现，但Sophos展示了如何利用此漏洞导致“蓝屏死亡”（BSo

Zerologon如何运作？Netlogon远程协议是Windows Server中的客户端身份验证体系结构使用的一种机制。它的作用是验证会话登录并注册，认证和定位域控制器。这样，它可通过客户端和充当域控制器的服务器之间的加密来确保安全通道，并使用户能够登录服务器。现在，由于Netlogon协议中AES-CFB8的实施不正确，攻击者可以在没有任何其他要求的情况下设置新密码，从而完全控制DC并获得管

在本月定期计划的Microsoft更新中，有11个严重的bug和6个未修补，但已为公众所知。微软在10月发布了针对87个安全漏洞的修复程序-其中11个为严重漏洞-其中1个可能是蠕虫病毒。十月的补丁程序星期二包括对Microsoft Windows，Office和Office Services和Web Apps，Azure函数，开放源代码软件，Exchange Server，Visual Studi

编者按蓝军（Red Team）的价值是站在攻击者的位置从实战角度协助防守方发现问题，避免防守方在进行安全建设时以自我为中心纸上谈兵，所谓以攻促防是也。蓝军的实战经验很重要，本文即是腾讯蓝军团队两位经常参与各类红蓝对抗赛事成员的经验之谈，欢迎与大家探讨。近年来各种大规模的红蓝对抗赛事方兴未艾，攻防实战受到了更多的重视。红队和蓝队的打法逐渐提升并趋于成熟，已不再是单方面的攻击与防御，而演变为攻防博弈和

使用验证码的网络钓鱼攻击使用验证码的网络钓鱼攻击–网络犯罪分子使用多个验证码攻击其目标。他们安装了Office 365用户必须在网络钓鱼页面之前单击的各种验证码。这些攻击一直在发生，并以医疗保健机构为目标。犯罪分子一直在使用视觉验证码来规避暴露并显示真实。1-什么是验证码？网站通常使用CAPTCHA来确定和测试用户是否为人类。完成测试，例如，单击具有自行车或消防栓图片的零件，或具有特定图像的网格。

网络钓鱼仍然是当今企业面临的最重要的风险媒介之一。诸如Office 365的Microsoft Defender之类的创新电子邮件安全技术可以在大多数网络钓鱼攻击击中用户收件箱之前将其阻止，但是世界上没有一种技术可以阻止100％的网络钓鱼攻击击中用户收件箱。在那时，您的员工将成为您的捍卫者。必须对他们进行培训以识别和报告网络钓鱼攻击。但是，并非所有培训都同样熟练。该博客检查了安全意识培训的当前状态

作者： Aamir Lakhani | 2020年10月5日到2020年，网络结构和攻击策略的不可预见的变化已在网络安全行业中消失了。随着COVID-19大流行继续对全球组织和个人造成重大损失，我们现在正面临着越来越严重的威胁态势，复杂，比以往任何时候都饱和。而且，许多组织发现分配足够的资源来管理和缓解这些不断增长和不断发展的威胁具有挑战性，而由于突然过渡到完全偏远的工作场所而已面临运营挫折。考虑

一个未知的黑客组织正在利用一种称为Ttint的先前未知的恶意软件，该恶意软件被归类为IoT特定的木马。我们所知道的是，黑客开发人员正在使用两个零日漏洞来侵入目标设备。安全分析已导致进行调查，从而揭示了两个已发布的通报中的弱点：CVE-2018-14558和CVE-2020-10987。从捕获的样本中可以看出，该恶意软件基于Mirai代码。CVE-2018-14558和CVE-2020-10987用

日前，一年一度的大型线上攻防对抗大赛已圆满落下帷幕。但今年的演习尤其热闹，乙方安全产品频频被曝出0Day漏洞，各种真假消息满天飞，让甲方企业每天都惴惴不安，开始用看”内鬼“的眼光看待自己的安全防线。为应对安全产品0Day问题，有的甲方企业甚至采用了关机、拔网线、下线安全产品等极端方式，直接让业务系统处于“裸奔”状态。这种乱象不禁让业界陷入深思。甲方企业平日几乎不会遇到0Day攻击，但在攻防对抗大赛

8月31日，卡内基国际和平基金会的网络政策倡议发布了蒂姆·毛勒（Tim Maurer）和加勒特·欣克（Garrett Hinck）撰写的报告“ 云安全：政策制定者入门 ”，大西洋理事会的网络治国倡议发起了“ 关于云的四个神话：云计算的地缘政治”通过Trey Herr。卡内基报告的重点是（a）云是什么的问题，（b）云及其市场的发展以及（c）云安全性，包括对过去与云相关的事件的回顾以及可以考虑的新颖框

文章来源：等级保护测评2017年6月1日《网络安全法》正式实施，网络安全等级保护进入有法可依的“等保2.0”时代。网络安全等级保护2.0较1.0最大的特点是等级保护对象在原有的传统系统上增加了云计算、大数据、物联网等新技术的应用。云计算看不见、也摸不着，使得关于如何开展云计算等级保护工作成为当下面临的重要问题之一。网络安全等级保护2.0时代，落实等级保护制度的五个规定基本动作：定级、备案、建设整改

什么是SSL握手？这是浏览器建议与Internet服务器建立安全连接的现象。有时客户端（因此服务器）无法通过协议建立连接。这就是SSL握手失败发生的时间。此故障通常发生在Apigee Edge中。不幸的是，客户端收到带有文本“ Service Unavailable”的HTTP状态503。并不是您的错，因为公司提供了这些SSL安全证书。在浏览器打开页面时发生此类错误是他们的错。该错误还会出现类似“

自大流行开始以来，视频会议和呼叫应用程序的使用猛增，这已将威胁参与者的眼球吸引到这种新的攻击面上。这无意中意味着视频通话平台已经受到关注，而Zoom恰好陷入了陷阱，因为它以前不支持免费用户的端到端（E2E）加密。它受到了很多攻击，特别是来自信息安全社区。但是，它纠正了错误，并为其所有用户提供了端到端加密。但是，它缺少一些基本的安全功能，例如两因素身份验证（2FA）。看来它终于有义务了，现在为用户引

几个组织担心人为错误导致意外泄露公司的关键数据。斯坦福大学教授杰夫·汉考克（Jeff Hancock）和安全公司Tessian的一项联合研究表明，十分之九（88％）的数据泄露事件是由员工的错误引起的。研究“ 人为错误的心理学 ”强调指出，如果组织严厉地评判员工，他们不愿意承认自己的错误。了解人为错误背后的心理有助于组织了解如何防止错误变成数据泄漏。根据这项研究，将近50％的员工表示他们“非常”或“

IoT安全威胁与防御的调查Shassan I.Ahmed1*、Abdurrahman A.Nasr2、Salah Abdel-Mageid3和Heba K.Aslan4，开罗信息学系电子研究所助理研究员，埃及1爱资哈尔大学计算机和系统工程系主任，埃及开罗系统与计算机工程系2埃及开罗爱资哈尔大学系统与计算机工程系项目负责人埃及开罗爱资哈尔大学电子与通信工程系4接收日期：2019年7月13日；修订日期

世界经济论坛（WEF）警告说，诸如物联网，人工智能和量子计算等新兴技术具有改变人类生活的潜力，但也可能以使社会更容易受到网络攻击的形式带来意想不到的后果。与保险经纪和风险管理公司Marsh合作编写的《 WEF 2020年全球风险报告》已进入第15年， 详细介绍了明年及以后世界面临的最大威胁。数据泄露和网络攻击是2018年和2019年最可能发生的全球五大风险之一，但尽管两者仍然构成重大风险，但它们现

9月2日，内蒙古自治区综合性网络安全检查组一行到乌兰浩特机场进行现场督导检查，此次检查由内蒙古大数据发展管理局网络与数据安全处副处长包瑞林带队，机场副总经理王志刚陪同。当日，检查组一行到机场召开现场会议，会上首先由王志刚简要汇报机场网络与信息安全工作开展情况。随后，检查组包瑞林强调，要提高政治站位，认真落实《网络安全法》《密码法》等工作要求，切实履行网络安全工作责任制，加强网络安全工作部署，提升网

文章来源：等级保护测评最近在和一些客户交流，很惊讶地发现，都2020年了，还有人不知道《中华人民共和国网络安全法》第21条明确规定：国家实行网络安全等级保护制度。换句话说，不做等保就等于在违法。不可能所有人都知道这个事，这是对所有人来说是这样。但是对于我们这些从事网络安全工作，从事IT工作，负责信息化的同志来说这是思想上认识严重不足，对网络安全工作对等保这项工作重视不够，长此以往，早晚要出事。上周

Mandiant看到涉及Microsoft 365（M365）和Azure Active Directory（Azure AD）的事件有所增加。这些事件大多数是网络钓鱼电子邮件强迫用户输入用于访问M365的凭据到网络钓鱼站点的结果。其他事件是由于对M365租户进行了密码喷洒，密码填充或简单的蛮力尝试导致的。在几乎所有这些事件中，用户或帐户都不受多因素身份验证（MFA）的保护。这些机会主义攻击肯定是

Rampant Kitten威胁小组针对电报凭证等进行的广泛监视活动的一部分，已经发现了一种新的Android恶意软件菌株。研究人员发现威胁组织发起了针对受害者的个人设备数据，浏览器凭据和电报消息应用程序文件的监视运动。该小组武器库中一个值得注意的工具是一个Android恶意软件，该恶意软件收集发送到设备的所有两因素身份验证（2FA）安全代码，嗅探Telegram凭据并发起Google帐户网络钓鱼

迷宫勒索软件操作者采用了Ragnar Locker团伙先前使用的策略；从虚拟机中加密计算机。虚拟机会将主机驱动器安装为远程共享，然后在虚拟机中运行勒索软件以加密共享文件。由于虚拟机未运行任何安全软件，并且正在安装主机的驱动器，因此主机的安全软件无法检测到恶意软件并将其阻止。与Ragnar Locker先前的攻击相比，这在磁盘大小方面是一种昂贵的攻击方法。由于Ragnar Locker的VM攻击使用

什么是Lokibot恶意软件？Lokibot，也称为Loki-bot或Loki bot，是一种信息窃取恶意软件，可从最广泛使用的Web浏览器，FTP，电子邮件客户端以及被感染计算机上安装的一百多种软件工具收集数据。它是在前苏联国家之一开发的。它是由创作者发布的销售公告于2015年5月3日首次发现的，该恶意软件至今仍处于活动状态。Lokibot的一般描述Lokibot间谍软件的最初版本最初是由称为“

执行摘要在2020年7月6日和7月9日，我们观察到与对中东和北非的两个国有组织的攻击有关的文件，这些组织最终安装并运行了Thanos勒索软件的变体。Thanos变体创建了一个文本文件，该文件显示赎金消息，要求受害者将“ 20,000 $”转入指定的比特币钱包以恢复系统上的文件。我们无法了解这些攻击的总体影响，也无法了解威胁行为者是否成功从受害者那里获得了付款。图1.加密文件后显示的Thanos赎金

概述近日，奇安信病毒响应中心在日常黑产挖掘过程中发现一种利用支付宝支付和微信支付进行诱导诈骗的新型黑产项目，在地下论坛中被称为“暗雷”和“明雷”。

【文章摘要】腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃，攻击者疑通过弱口令爆破方式投递勒索病毒。该攻击者同时携带2款勒索病毒样本，一款为C#编写的勒索模块，加密添加.aes扩展后缀。另一款为Delphi编写的Scarab勒索模块，加密添加.lampar扩展后缀。腾讯电脑管家可查杀拦截此病毒。一、概述腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者

【文章摘要】腾讯洋葱反入侵系统检测发现PyPI官方仓库被恶意上传了request钓鱼包，攻击者通过钓鱼包实施窃取用户敏感信息及数字货币密钥、种植持久化后门、远程控制等一系列攻击活动。腾讯安全应急响应中心（TSRC）建议各开源镜像站以及对开源镜像站有依赖的公司尽快自查处理，确保清除恶意库，保障用户系统安全。一、概述8月5日，腾讯洋葱反入侵系统检测发现PyPI官方仓库被恶意上传了request钓鱼包，

Zix / AppRiver威胁团队对Phorphiex / Trik僵尸网络及其广泛的攻击并不陌生。在6月4日（星期四），我们开始捕获由同一僵尸网络分发的活动，该活动反映了我们在去年4月防御和分析的僵尸网络所使用的技术，战术和程序。但是，此活动提供了新的Avaddon勒索软件，该软件转换为Abaddon，意味着厄运或破坏。这些消息的主题非常简单。所有这些都包含各种主题行，试图诱使收件人打开“照片

7月2日，我们找到了一个带有嵌入式文件的存档文件，该文件伪装成来自印度政府。此文件使用模板注入来删除加载了Cobalt Strike变体的恶意模板。一天后，同一威胁参与者更改了模板，并放下了一个名为MgBot的加载程序，通过使用Windows上的应用程序管理（AppMgmt）服务来执行并注入其最终有效负载。7月5日，我们观察到另一个带有嵌入式文件的存档文件，该文件借用了英国首相鲍里斯·约翰逊（Bo

在该博客的第一部分中，我完成了对新发现的Rootnik恶意软件变体的本机层的分析，并获得了解密后的真实DEX文件。在第二部分中，我们将继续进行分析。看解密的真实DEX文件解密的DEX文件的条目是demo.outerappshell.OuterShellApp类。类OuterShellApp的定义如下所示。图1.类demo.outerappshell.OuterShellApp我们将首先分析函数at

背景Loki Bot已被观察多年。如您所知，它旨在从受害者计算机上已安装的软件中窃取凭据，例如电子邮件客户端，浏览器，FTP客户端，文件管理客户端等。FortiGuard Labs最近捕获了一个PDF样本，该样本用于传播新的Loki变体。在此博客中，我们将分析此新变体的工作原理以及它所窃取的东西。PDF样本图1. PDF示例的内容PDF样本仅包含一页，如上所示，其中包含一些社会工程学内容，以诱使用

2019年TA505组织攻击统计在过去的六个月中，积极技术专家安全中心的威胁情报团队一直密切关注TA505网络犯罪组织。恶意因素被吸引到金融领域，其目标分散在多个大洲的数十个国家中。TA505组织以什么有名？该cybergang已经相当多产从2014年起：他们的武器库包括Dridex银行木马，僵尸网络中微子，以及Locky，JAFF，GlobeImposter和其他勒索。从北美到中亚，全世界都发现

数以千计的HiddenAds Trojan应用程序伪装成Google Play应用程序McAfee移动研究团队最近发现了HiddenAds Trojan的新变种。HiddenAds Trojan是一个广告软件应用程序，用于显示广告和收集用户数据以进行营销。此类应用程序的目标是通过将用户重定向到广告来产生收入。广告软件通常有两种赚钱的方法：在用户计算机上展示广告以及用户点击广告后的每次点击付款。尽管

在我们的第一篇文章中，我们讨论了有针对性的勒索软件攻击的增长模式，其中第一个感染阶段通常是一种信息窃取类恶意软件，用于获取凭据/访问权以确定目标是否对勒索软件攻击有价值。在第二部分中，我们将从中断的地方继续前进：攻击者可以通过控制受感染的主机来在网络上立足，或者拥有有效的帐户来访问远程服务。使用有效的帐户或有权访问公司系统的东西，您要了解的前两件事是：我可以从这台机器获得什么样的权利？我在这个网络

多年来，我一直在数字取证，恶意软件分析和威胁情报领域工作和教学。在上一堂课时，我们总是谈论洛克的交换原则：“两个项目接触，就会进行交换”。如果我们将其转换为数字世界：“当对手违反系统时，他们将留下证据的痕迹”。面临的挑战通常是如何及时发现证据以采取行动并发现可用于检测的来源。易失性证据来源必须尽快得到保护，而非易失性证据来源的优先级较低。波动顺序的一个例子：在本系列的两篇文章中，您将看到一个示例，

威胁行动者正在不断创造出更复杂的方式来使恶意软件逃避防御。我们已经观察到Netwalker 勒索软件攻击所涉及的恶意软件不是经过编译而是用PowerShell编写，而是直接在内存中执行，而没有将实际的勒索软件二进制文件存储到磁盘中。这使该勒索软件变种成为无文件的威胁，从而使其能够保持持久性并通过滥用系统中已经存在的工具来发起攻击来逃避检测。这种类型的威胁利用了一种称为反射式动态链接库（DLL）注入

我们最近注意到MalwareHunterTeam 在Twitter上发布的帖子显示Java下载器的检测率较低。其名称为“由于Covid-19爆发CI + PL.jar而导致的公司PLP_Tax减免”，表明它可能已用于以Covid-19为主题的网络钓鱼活动。运行该文件导致下载了一个用Node.js编写的，未检测到的新恶意软件样本。该木马被称为“ QNodeService”。对于编写商品恶意软件的恶意

前言本文分析的病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。该病毒会扫描端口，目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染，并作为攻击机再次扫描互联网和局域网其他机器，形成蠕虫感染。病毒运行1.电脑感

概述在本篇文章中，我们将重点介绍Mispadu，这是一个主要以拉丁美洲地区为目标的银行木马，伪装成麦当劳的广告从而将其攻击面扩展到Web浏览器。我们认为，该恶意软件家族针对的是普通用户，其主要目标是窃取金钱和用户凭据。在巴西地区，我们发现其背后的攻击者分发了一个恶意的Google Chrome扩展程序，该程序时图窃取信用卡数据和在线网银数据，并伪装成Boleto支付系统。恶意软件特征Mispadu

下面本篇文章给大家介绍一下使用javascript实现斐波那契列数的三种方法。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。JS实现斐波那契列数的三种方法大家是怎么实现斐波那契列数的1,1,2,3,5,8...f(n)=f(n-1) + f(n-2)方法一：functionf(n){

if(n==1||n==0){

return1;

}

returnf(n-1)+f(n-

JavaScript（简称“JS”）是一种具有函数优先的轻量级，解释型或即时编译型的高级编程语言。本文为大家介绍了11种实用的JavaScript技巧，希望对大家有一定的帮助。1、过滤唯一值Set对象类型是在ES6中引入的，配合展开操作...一起，我们可以使用它来创建一个新数组，该数组只有唯一的值。constarray=[1,1,2,3,5,5,1]

constuniqueArray=[...n

本篇文章和大家一起聊聊JavaScript中!和!!的区别。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。js中!的用法是比较灵活的，它除了做逻辑运算常常会用！做类型判断，可以用！与上对象来求得一个布尔值，1、!可将变量转换成boolean类型，null、undefined和空字符串取反都为false，其余都为true。!null=true

!undefined=true

!

前言JS具有自动垃圾回收机制，换句话说，执行环境会管理代码执行过程中使用的内存。JS垃圾回收的原理执行环境会找出那些不再继续使用的变量，然后释放其占用的内存。JS垃圾回收的策略标记清除当变量进入环境时，就将这个变量标记为“进入环境”，而当变量离开环境时，则将其标记为“离开环境”。标记变量方式看具体的实现，比如可以使用一个“进入环境”的变量列表和一个“离开环境”的变量列表来跟踪哪个变量发生了变化。使

SVG是一种图像文件格式，它的英文全称为Scalable Vector Graphics，意思为可缩放的矢量图形。本文就来为大家介绍7个提升网页SVG文件可访问性的方案。1、作为图片使用的 SVG 文件如果你的 SVG 是作为img的 src 引入的，务必为img添加role=img属性：imgsrc=https://s3-us-west-2.amazonaws.com/s.cdpn.io/163

我们可以利用indexOf()方法去除数组中的重复值。思路：首先创建一个新数组，然后循环要去重的数组，然后用新数组去找要去重数组的值，如果找不到则使用.push添加到新数组，最后把新数组返回回去就行了。具体代码：functionfun(arr){

letnewsArr=[];

for(leti=0;iarr.length;i++){

if(newsArr.indexOf(arr[i])===

很多朋友都有自己的习惯，有的人喜欢先写CSS，有的人喜欢先写HTML，那么网页布局最科学的写法流程是什么呢？对于一个新手而言，在有了一点html知识之后，对于CSS、DIV都感觉特别的疑惑，不知道这其中到底是什么联系?为什么用了CSS的网页不能像其它代码一样直观?html和css哪个先写?其实这些问题在我看完教程，但还没真正上手实践时的疑惑!等真正上手自己做时，我才发现应该是两者同时写!下面我们就

JavaScript 是一种易于学习的编程语言，编写运行并执行某些操作的程序很容易。然而，要编写一段干净的JavaScript 代码是很困难的。在本文中，我们将研究如何降低函数复杂度。将重复的代码移到同个位置我们应该将重复的代码提取出来，合并放到同个位置，这样当有需要修改的，我们只需要改一个地方即可，同时也减少犯错率。假设我们有可能很写出下面的代码：constbutton=document.que

JavaScript 是一种易于学习的编程语言，编写运行并执行某些操作的程序很容易。然而，要编写一段干净的JavaScript 代码是很困难的。在本文中，我们将研究如何让我们的函数更清晰明了。对对象参数使用解构如果我们希望函数接收很多参数，那么应该使用对象。在此基础上，我们就可以使用解构语法提取我们需要的参数。例如，对于对象参数，我们可能会这样使用：constgreet=(obj)={

retu

大家都知道，对于网站来说，性能至关重要，CSS作为页面渲染和内容展现的重要环节，影响着用户对整个网站的第一体验。因此，与其相关的性能优化是不容忽视的。对于性能优化我们常常在项目完成时才去考虑，经常在项目的末期，性能问题才会暴露出来，此时才进行一些相关的性能优化。其实，如果我们从一开始编码，就注意一些细节问题，后面的工作量会小很多，下面我们来看看在书写CSS时，我们可以注意哪些细节，从而来提升CSS

本篇文章给大家介绍一下使用html+css+js实现魔性舞蹈动画效果（附代码）。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。使用html+css+js实现魔性的舞蹈，让我们燥起来！！！代码如下，复制代码即可使用：!DOCTYPEhtml

html

head

metacharset=UTF-8

titleTheLastExperience/title

style

ht

JavaScript异步函数的发展历程，首先通过回调函数实现异步，之后又经历了Promise/A+、生成器函数，而未来将是async函数的。对大部分的JavaScript开发者而言，async函数是个新鲜事物，它的发展经历了一个漫长的旅程。在不久之前，我们还只能写回调函数来实现异步，然后Promise/A+标准出来了，这之后又出现了生成器函数，而未来显然是async函数的。现在让我们一起来回顾这些

在日常开发中优雅的写法可提高代码的可读性，以及使代码整洁，本篇文章介绍了9种非常主流且又优雅的写法（各种 Hack 写法）。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。1. 全局替换我们知道，字符串函数 replace () 仅替换第一次出现的情况。您可以通过在正则表达式的末尾添加 /g 来替换所有出现的内容。varexample=potatopotato;

console.

本篇文章就来浅谈一下js中的typeof、instanceof和===。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。typeof：用于判断number/string/boolean/underfined类型/function，不能判断：null和object ，不能区分object和Arrayinstanceof：判断具体的对象类型===：用于判断undefined和null/

在JavaScript程序中，函数直接或间接调用自己。通过某个条件判断跳出结构，有了跳出才有结果。本文就来为大家介绍一下JavaScript中使用递归的方法。递归的步骤(技巧)1、假设递归函数已经写好2、寻找递推关系3、将递推关系的结构转换为递归体4、将临界条件加入到递归体中（一定要加临界条件，某则陷入死循环，内存泄漏）简单递归示例:一、求1-100的和假设让你来，你是否会这样写？varsum=0

本教程将深入探讨 CSS 网格布局，并探索几乎所有的属性和功能。读完之后，你将能够用这种出色的 CSS 附加功能去处理任何一种布局。术语：GridGrid 是二维网格系统。它可以用来构建复杂的布局以及较小的界面。属性：display只需要把一个元素的display属性设置为grid，它就成了网格。.grid-to-be{

display:grid;

}这样就使.grid-to-be成为grid

JavaScript 引擎是执行 JavaScript 代码的程序或解释器。JavaScript 引擎可以实现为标准解释器，或者以某种形式将 JavaScript 编译为字节码的即时编译器。以下为实现 JavaScript 引擎的流行项目的列表：V8 —  开源，由 Google 开发，用 C ++ 编写Rhino —  由 Mozilla 基金会管

本篇文章给大家介绍5种应该避免使用箭头函数的情况。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。避免在定义对象方法时使用箭头函数虽然因语法简练受人追捧。但由于没有 this 会导致在一些情况下出现预想不到的意外情况。比如在对象中定义一个方法：看起来很完美调用这个方法能够按照预期，获得对象的 food 属性但如果将其改为箭头函数：由于箭头函数自身没有 this 会导致自动继承外层的

在这篇文章中，我们会详细介绍continue和break，分析它们的相同和不同之处，甚至用一些可运行的实例。continue和break都是用于控制循环的。我们先来看一下他们的定义：Continue：结束当前的执行，并继续下一个循环。Break：终止整个循环的执行。注意：break还可以用在switch中，本文主要介绍在循环中的使用。Continue考虑如下代码：for(leti=1;i=10;i

隐藏滚动条的同时还需要支持滚动，我们经常在前端开发中遇到这种情况，最容易想到的是加一个iscroll插件，但其实现在CSS也可以实现这个功能，我已经在很多地方使用了，下面一起看看这三种方法。方法1：计算滚动条宽度并隐藏起来在本站的侧栏，你可以看到前端日报的那块内容并没有滚动条，但鼠标移上去却可以滚动内容。这是什么技术呢？ 其实我只是把滚动条通过定位把它隐藏了起来。下面给一个简化版的代码：divcl

设计是一个迭代很快的行业，稍有懈怠就会跟不上节奏，设计师就是这个行业里面不断奔跑的一群人。在这条设计跑道上，有人从不懈怠，一直在奔跑；有人偶尔懈怠，稍作休息；有人在散步，却已差之千里。你在这条跑道上的速度如何，决定了你能以何种姿态到达终点。工作饱和度是设计跑道上的一种状态，影响着设计师是原地踏步还是一路前行。工作饱和度是一把双刃剑，如果饱和度太高会影响设计师的休息质量和工作心态；如果饱和度太低会让

大家好，我是Clippp。今天为大家带来的文章是「地图标签」设计。很多App会内嵌地图功能，这些地图的功能相对简单，更多是起到查看和引导的作用，但在产品中又不可或缺～除了常见的地图类App，还有其他很多产品会根据使用需求嵌入地图功能，通过在地图页中添加引导性的交互标签，让用户了解所处的位置或者导航路线。如何保持地图页面与产品风格统一，同时又方便用户使用呢？通过系统化的方法可以快速实现地图组件的选择

一直很喜欢苹果系统的交互设计，因为绝大多数设计点都考虑得周到且成熟，体现出苹果作为顶级大厂的范儿。研究优秀的设计，学习他们的方案，会使我们也更优秀。下面就带大家看看，苹果系统这次更新，在交互上值得细说的5个功能点。桌面小组件这次iOS最大的更新，莫过于这个桌面小组件了。说白了，就是把app的一个功能拿出来，直接展示在桌面上。这样用户不用进入应用，也能看到需要的信息。其实这个小组件，在安卓和Wind

这是一篇关于Figma全面介绍的文章，非常适合刚刚入门，目录总览前言我为什么要说Figma，最直观的感受就是，这个工具真的非常好用，使用起来非常流畅。可以提高设计效率，用起来很爽，然后想分享给大家最重要的是，Figma已经成为主流原型设计工具，为什么这么说？我们来看一份来自UXTOOLS调查2019年的设计工具使用报告（2020年Figma的用户应该会更多），报告详情请查看：https://uxt

“中心构图”是把主体放置在画面视觉中心，形成视觉焦点，再使用其他信息烘托和呼应主体。这样的构图形式能够将核心内容直观的展示给受众，内容要点展示更有条理，也具有良好的视觉效果。为了让大家加深对“中心构图”的理解，运用上一期知识点进行一则双11潮牌海报实操演示。方案一寻找时尚潮流的人物素材，在PS中把人物退底处理。把调整好的图片放置到AI中，背景色选取和人物相近的淡绿色。标题文字选用“字魂-正酷超级黑

很多读者很关心的一个问题，就是如何做出优秀的甚至很惊艳的设计方案？大家拿着产品需求之后，很容易就没有头绪，不知道如何下手，最多也就看看相关的竞品，借鉴竞品的思路和方案，然后就开始做设计。这样的话，设计师就缺乏独立思考能力，缺乏设计推导。有没有一些方法，让设计师做出符合自己的设计方案呢？这里我总结了5个方法，可以助力设计师做出优秀甚至惊艳的设计方案。以下是本文5个方法的大纲：拆解设计需求分析线上数据

编者注：产品觉得公司业绩取决于运营和产品，设计师作用不大，老板甚至想取消年度绩效，该怎么办？该如何衡量和验证UE设计效果？来看这篇高手的经验总结。前段时间在项目复盘会上，产品经理向设计团队提出了这个问题。我认为这是一个很好的问题，我目前负责的业务是一款教育问答产品，受众是以大学生青年群体为主，机构发布悬赏题目来吸引大学生回答，从而帮助完善机构题库，大学生从中获取悬赏报酬，而我们平台则从中赚取佣金。

前言工欲善其事必先利其器，器即工具。选择一种工具的本质是选择一种方式。个人的选择或许是基于喜好习惯，行业的选择则伴随行业工作模式的变化。作为互联网行业的设计师，我们应当时时跟进技术的发展，解锁新模式和新工具。设计工具的战场1. 概述随着日新月异的技术发展，互联网时代进入深水区。行业环境越复杂，设计师将面临越多机遇和挑战。设计不同于艺术，本质是为了解决问题，而设计工具直接影响着设计师思考问题和解决问

Hi，大家好，我是彩云。3D设计趋势近年来大火，得益于它能给用户带来非常好的视觉体验，其炫酷的表现力也非常能展现设计师的专业能力。平时在群里经常能见到有群友问3D学习相关的问题，而我正好之前做过一个3D游戏项目，想跟大家分享自学3D的一些小心得和学习资源之类的，相互学习。在这之前，我只会一些基本的3D知识，软件也只是会一点C4D，曾经也断断续续的学了蛮久，但始终不得要领，属于关掉教程就不会做的那种

10月份的设计圈干货大合集来了！这次的实用干货当中有相当一部分是和前端相关的开发和设计素材，除此之外，还有大家最喜欢的字体、图标等常规设计素材！来看看吧：Tooltip Sequence如果你的 APP 或者网站已经准备就绪，但是需要加入工具提示，让用户可以更好地参与进来，那么你可能需要这个「工具提示工具包」。这是一个简单的 JavaScript 程序包，能够帮里创建一系列工具提示，帮助用户更好了

很多产品里的小细节，如果用户发现的话，就很容易给用户带来惊喜的感受。一个产品的好坏与否，都不能站在自己的主观意见上去做判断，即使只有20%的用户喜欢，如果在产品设计策略上跟公司的战略相匹配，刚好满足于这20% 的主要用户群，无疑这个产品是成功的。「波洞」趣味的视频点赞效果1. 产品体验：在波洞APP观看视频，给自己喜欢的视频点赞时，会以点赞图标为中心，通过动画效果向四周发散出五颜六色的二次元图标，

创建美观、好用和高效的UI需要花费时间，并且需要不断的调整修正，才能产生让用户和自己真正满意的设计。在本文中，总结了一些简单易用的设计小技巧，通过进行一些简单的视觉调整，可以快速改善你要创建的视觉效果。1. 减轻文本的字重当涉及到长篇内容时，某些常规的粗体字看起来会有些沉重和生硬，可以通过选择深灰色（Dark Gray），比如＃4F4F4F 来解决这个问题，让文本看起来更美观一些。2. 字号越小，

对称之美对称之美源于自然，在日常生活中处处都可见，对称之所以为美，这是视觉美的天性使然。稍微留意一下我们身边的事物，就会发现我们生活在一个充满对称的世界里。人们对“对称美”的思索可以追溯到人类文明的初始阶段。早在古希腊时期，哲学家对艺术中的美的理解就多与对称有关。如亚里士多德认为“美在于秩序、对称、明确”，毕达哥拉斯说“美的线型和其他一切美的形体都必须有对称形式”等。这体现了人类在自觉不自觉中，以

在设计行业中，提到精彩二字，很难不联想到大海彼岸的日本索尼、松下、三菱，不少日企都曾凭借设计风靡过全世界，可问题是，这么多年过去日本的设计师们，是否依旧还是那么能打呢？正好，由日本包装设计协会所举办的JPDA包装设计大赏2020年获奖名单，最近新鲜出炉！即便日本饱受疫情困扰，参赛的作品数量仍旧高达827份，大奖1名、金奖12名、银奖11名、铜奖14名、特别奖4名杀出重围的，无疑都是代表之作当今日本

如果你喜欢宫崎骏作品，现在吉卜力将这些动画剧照释出，让使用者免费下载使用。吉卜力工作室（Studio Ghibli）官网9/18贴出公告：从本月开始，将按顺序提供吉卜力工作室的所有动画作品剧照，这个月会先开放八部作品，主要是较近期的动画，总共400张剧照免费下载。只要「在常识范围内」就能自由使用，但网站没有详细解释何谓常识范围，一般来说个人使用应该没有问题，若用于商业用途可能就必须事先询问或申请。

缘起最近组内设计评审，视频和小说两个业务都涉及到在图片上显示标签（Tag）的设计，但是Tag的样式和位置却不完全不同，如下图所示：加之对其他产品中图片上Tag的位置和样式各异的印象，不由得引发了我的思考，到底什么位置，何种样式的标签设计才是更合适的设计？这背后的设计逻辑又是什么？竞品分析带着这样的疑问，我打开了手机中Top3的视频和小说App，通过分析整理，发现竞品主要采用了以下4种图片Tag样式

最近，有读者发来一个问题，内容大概是这样：呆总，这个页面里我画圈的模块现在只有 2 个选项，如果有 15 个选项的话，那我要怎么设计呢？这类问题其实不难回答，但业务不明确，以至于无法给出符合问题本身的答案。这位读者这么问，应该是想要我直接给出形式上的设计建议。但是，我不知道这个模块的作用，页面缺少上下文的联系，也就不知道它要解决用户什么问题，更不知道选项变多至 15 个的原因。只能大致猜测是选择其

前言小方鹅CUBIE是企鹅电竞官方的IP形象，设计方案是围绕“游戏机方盒子”的概念来展开创意，特别是小方鹅头上的游戏机摇杆的提取以及方块组合的表情符号，都体现其游戏属性；符合目前企鹅电竞以游戏直播为核心，多元化发展的产品定位；IP形象的诞生，提升了用户对企鹅电竞的的品牌认知和传播力，协助产品打造一个更具有情感化的游戏直播内容平台。前期设计分析，制定设计流程企鹅电竞作为游戏直播为主，多元化发展的直播

本文通过赛博朋克海报案例给大家深度讲解“商业合成海报从构思到成品”的制作流程以及合成中“人造戏剧光影”的后期使用方法更多文章知识，请查阅ots网络安全门户 ！！！

点线面的临界问题康定斯基在书中曾讲到，线的强化加粗，与点不断增大面临同样的问题，即与面之间的临界。这句话的意思就是，当点、线通过强化自身的面积、宽度后，和面的界限开始模糊，从而具备了面本身的性质。比如ios11中让人印象深刻的大标题，便是由通过增加每个点的面积（增加每个字的字号），以及笔画的线宽（增加每个字的字重）来趋向于面，以来营造出饱满、冲击的视觉张力。辨识性面二维的属性让它可以向四周无限得扩