质量保证不足是破坏软件公司声誉的最快，肯定的方法之一。隐藏在应用程序源代码中的微小错误可能导致巨大的财务损失。如果错误足够严重，则该公司可能永远无法恢复。备受瞩目的软件案例遭到破坏，并给大型公司造成了数百万美元的损失，这些问题一直无时无刻成为头条新闻。由于POS系统故障，星巴克曾经不得不暂时关闭其一半以上的北美门店。由于安全气囊传感器故障，日产曾经不得不召回超过一百万辆汽车，而事实证明这是软件故障

对于那些关注我的个人博客文章创建EDR和绕过它的人，我开发了一种名为SharpBlock的新工具。该工具实现Windows调试器，以防止EDR或任何其他DLL加载到SharpBlock启动的进程中。SharpBlock的初始版本中缺少的一项功能是能够绕过AMSI。当前，有几种AMSI旁路可用于逃避最新和最大的恶意软件有效负载。有些涉及修改的有效载荷本身就像@HackingDave在他的视频的第一部

情境您已经恢复了域的域用户凭据，但是没有对任何目标的特权或交互访问，即没有域管理员帐户或任何能够建立RDP会话的帐户。介绍最近，我对几个不受信任的Windows域进行了内部评估。使用Kerberos域用户名枚举并随后执行SMB密码猜测，可以实现对多个域帐户的访问。但是，发现没有一个已标识的凭据集具有特权，例如，它们不是Domain Admin，并且，这些帐户都不是“远程桌面用户”组的成员。结果，无

此页面总结了XSS Auditor和XSS筛选器绕过。列出了适用于最新版本的Chrome / Safari和IE11 / Edge的版本。如果您是安全研究人员，请帮助我们发现更多绕过之处，以令人信服地证明如果您可以诊断漏洞，则可以进行攻击。列出的是在一般情况下可以绕开的那些。即使未在此处列出该方法，也并不意味着在实际情况下不能滥用该方法。始终建议采取基本的XSS措施，无论是否可以绕开它们。原文：h

介绍有许多新的黑客定期加入社区，他们通常会问的第一件事是：“我如何开始，有哪些好的资源？”。作为一名黑客，您需要熟悉很多技术，术语和主题以了解应用程序的工作方式。我和Cody Brocious （@daeken），@ 0xAshFox一起将这些资源放在一起，以帮助有资源的新黑客学习Web应用程序安全性的基础知识。目录基本建立工具类实验室和测试环境漏洞类型移动黑客智能合约编码和脚本硬件与物联网博客文

在7月6日至10月6日期间，我本人Brett Buerhaus，Ben Sadeghipour，Samuel Erb和Tanner Barnes一起工作，并入侵了Apple Bug赏金计划。山姆咖喱（@samwcyo）布雷特·布尔豪斯（@bbuerhaus）Ben Sadeghipour（@nahamsec）塞缪尔·埃尔布（@erbbysam）坦纳·巴恩斯（@_StaticFlow_）在参与过程中

编者按近源渗透（物理渗透）是红蓝对抗演练中的一个关键点，从相关新闻及实际测试结果来看，许多企业线上部署各种安全设备严阵以待，结果马奇诺防线在线下被物理渗透绕过 —— 物理安全或许就是部分企业的短板。本期TSRC特别邀请到腾讯企业IT部蓝军团队成员、《黑客大揭秘：近源渗透测试》第二作者杨芸菲（yyf），他将撰文与大家一起探讨近源渗透攻防。同时也向对近源渗透感兴趣的同志推荐该书。前言近源渗透是这两年常

计算机使用网络进行通信。这些网络可以位于局域网LAN上，也可以暴露于Internet。网络嗅探器是捕获通过网络传输的低级程序包数据的程序。攻击者可以分析此信息，以发现有价值的信息，例如用户ID和密码。在本文中，我们将向您介绍用于嗅探网络的常见网络嗅探技术和工具。我们还将研究可以采取的对策，以保护通过网络传输的敏感信息。什么是网络嗅探？计算机通过使用IP地址在网络上广播消息进行通信。在网络上发送消息

什么是IP和MAC地址IP地址是Internet协议地址的缩写。Internet协议地址用于唯一标识计算机或设备，例如打印机，计算机网络上的存储磁盘。当前有两个版本的IP地址。IPv4使用32位数字。由于Internet的迅猛发展，已经开发了IPv6，它使用128位数字。IPv4地址的格式为四组数字，中间用点分隔。最小数为0，最大数为255。IPv4地址的示例如下所示；127.0.0.1IPv6地

作者｜ 腾讯蓝军 jumbo红蓝对抗越加普遍及重要，甚至成为了大型赛事，随之⽽来的是防守方大量部署安全设备，如FW、WAF、IDS、IPS等，想要从Web端深⼊到对⽅内⽹已经困难重重。但是，⼈永远是最⼤的弱点，在日渐增多的防护设备⾯前，钓⻥攻击（Phishing）已经成为对抗中&

当我们渗透测试已经走到登录页面时，有哪些思路来作为本次渗透的切入点呢本文会分享关于登录页面测试一些常规的思路(水平有限，如果有缺有错，师傅们多带带)1.暴力破解对于用户名密码明文传输的登陆点。

1.bWAPPbWAPP，或者一个有缺陷的web应用程序，是一个免费的、开源的、故意不安全的web应用程序。是什么让bWAPP如此独特？嗯，它有超过100个网络漏洞！它涵盖了所有已知的主要web错误，包括来自OWASP Top 10项目的所有风险。bWAPP是一个使用MySQL数据库的PHP应用程序。它可以通过Apache/IIS和MySQL托管在Linux/Windows上。它也可以与WAMP或

某企业授权渗透报告https://www.freebuf.com/articles/network/243831.html渗透经验分享之SQL注入思路拓展https://xz.aliyun.com/t/7919从0到1学会搭建小型企业拓扑到由外向内的渗透测试https://www.anquanke.com/post/id/208992某大学渗透测试实战靶场报告-Part1https://mp.we

北京时间2020-6-22日Apache官方发布了Dubbo 2.7.7版本，其中修复了一个严重的远程代码执行漏洞（CVE-2020-1948），这个漏洞是由腾讯安全玄武实验室的ruilin提交，该漏洞允许攻击者使用任意的服务名和方法名发送RPC请求

一、DVWA官网：http://www.dvwa.co.uk/ 进入官网点击右上角框处的地方点击一下。点击后直接跳转GitHub平台，然后点击绿色图标，然后下载ZIP格式文件。二、下载一个环境，虚拟环境可以使用win7以及20008R2等phpStudy集成环境下载 - https://m.xp.cn/  如：你的虚拟系统是多少位就选择多少位 -三、因为我已经把虚拟系统安装好了，系统安装这块就先跳

在2019年，McAfee Advanced Threat Research（ATR）披露了一个名为BoxLock的产品中的一个漏洞。此后的某个时间，英国公司iParcelBox的首席执行官与我们联系，并提出发送其一些产品进行测试。尽管这不是我们研究的典型MO，但我们赞扬该公司积极开展安全工作，因此，由于iParcelBox的团队很友好，可以将所有东西都交付给我们，因此我们决定看看。iParcel

从1月份入坑到现在，已经5个月了。这五个月来一直在刷edusrc，并且在本月初成功达到了总榜第五名。很多人问我如何快速批量刷站？那么，他来了。本次分享一次对自己学校的一次安全检测实战文章。帮助萌新理清思路，同时，欢迎各位大佬指点不足。0x01先看学校的域名ip地址注意:这里我建议不要看主域名的，看二级域名的ip地址。因为一些地区的职业院校都是集中统一在一台服务器上的，只有一些二级域名才会搭建在学校

今天分享的是作者在众测过程中实现的一次性验证密码（OTP）绕过技巧，通过拦截修改响应中的内容即可有效绕过OTP，姿势非常简单，但也值得学习借鉴，一起来看看。漏洞发现假设目标网站为example.com，当我在其中创建了用户账号之后，我的注册邮箱中就收到了一个一次性验证密码（OTP），该OTP目的是通过验证邮箱来确认我的身份。开启Burp抓包后，我输入了正确的OTP后，请求的响应简洁明了，其中包含一

漏洞简介近日，joomla官方给出了一个安全公告。从公告可知Joomla! CMS versions 2.5.0 - 3.9.16版本在处理用户组时缺少对根用户组的检查，从而导致了一个提权漏洞的产生(CVE-2020-11890)。

本文没有getshell,漏洞已报送至教育行业漏洞平台,经验证漏洞已修复。我挖的是edu.cn的漏洞，使用了oneforall进行子域名搜集，在看到一个标题为“某某某管理信息系统”的站点，就上手了。1.任意密码重置账号 admin 密码123456（只要是数字就会自动进入修改密码页面）提示我们需要改密码。我们修改成 abc123456抓包，抓响应包。这里面有许多学号与身份证信息，我保留下来两个作为

近日，阿里云应急响应中心监测到骑士CMS官方发布安全更新，修复了一处远程代码执行漏洞。漏洞描述骑士CMS是一套基于PHP+MYSQL的免费网站管理系统。骑士CMS官方发布安全更新，修复了一处远程代码执行漏洞。由于骑士CMS某些函数存在过滤不严格，攻击者通过构造恶意请求，配合文件包含漏洞可在无需登录的情况下执行任意代码，控制服务器。漏洞利用简单，且相关利用细节已公开，阿里云应急响应中心提醒骑士CMS

据俄罗斯银行Sberbank周二发布的估计，到2020年，俄罗斯经济将因网络犯罪损失440亿美元，而在COVID-19大流行期间转向在线将带来新的挑战。随着锁定措施和健康限制减少了全球商店的客流量，如今越来越多的网上交易而不是现金交易，冠状病毒大流行加剧了网络安全问题。俄罗斯最大的银行储蓄银行（Sberbank）拥有近1亿活跃客户，他表示，到2021年，该国因网络犯罪造成的经济损失可能会翻番。Sb

加密货币借贷服务Akropolis称，黑客对其平台进行了“快速贷款”攻击，并偷走了价值约200万美元的Dai加密货币。攻击发生在昨天下午（格林尼治标准时间时区），Akropolis管理员暂停了平台上的所有交易，以防止进一步损失。Akropolis说 ，虽然它雇用了两家公司调查此事件，但两家公司都无法查明该漏洞利用中的攻击媒介。但是，入侵被确定为“快速贷款”攻击。对于运行DeFi（去中心化金融）平台

来自Adobe，Apple，Google，Microsoft，Mozilla和Samsung的多种软件产品在天府杯2020上获得了前所未有的成功利用，这是在中国成都举行的第三届国际网络安全大赛。活动组织者说： “今年的比赛中已经提出了许多成熟而艰巨的目标。” “在16个目标中有11个成功破解了23个演示。”黑客竞赛展示了针对多种平台的黑客尝试，包括：Adobe PDF阅读器运行iOS 14和Saf

苹果周四发布了多个安全更新，以修补三个零日漏洞，这些漏洞被发现是在野外被积极利用的。这些缺陷是作为其iOS，iPadOS，macOS和watchOS更新的一部分推出的，存在于FontParser组件和内核中，从而使攻击者可以远程执行任意代码并以内核级特权运行恶意程序。零时差是由Google的零项目安全小组发现并报告给苹果的。iPhone制造商说：“苹果公司已经知道有报道称，存在针对该问题的攻击。”

近日，阿里云应急响应中心监测到国外某安全团队公开了 CVE-2020-13935 websocket 拒绝服务漏洞利用代码。漏洞描述Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。Tomcat官方于7月份修复了CVE-2020-13935 websocket 拒绝服务漏洞。近日，国外某安全团队公开了相关poc代码，在受影响版本内的Tomcat开启

CVE-2020-16010是Google最近修补的另一个关键的零时差。这次，受影响的是Android版本的Chrome浏览器。该漏洞是86.0.4240.185之前版本的Android中的Google Chrome浏览器中的UI中的堆缓冲区溢出。什么是CVE-2020-16010？CVE-2020-16010可能允许已损害渲染器进程的远程攻击者潜在地使用精心制作的HTML页面执行沙箱转义。请注意

据安全研究人员称，美国网络安全和基础设施安全局和甲骨文敦促用户为软件巨头的WebLogic Server产品中的漏洞应用紧急补丁，攻击者已经利用该漏洞。警报称，周日，Oracle针对该漏洞发布了一个罕见的带外修补程序，其跟踪记录为CVE-2020-14750，CVSS评分为9.8（满分10分）。在Oracle推出补丁程序之后，CISA在周一发布了有关CVE-2020-14750的警报，敦促WebL

谷歌的安全研究人员今天披露了当前正在积极利用的Windows操作系统中的零日漏洞。从报告中：谷歌精英漏洞研究团队Project Zero的负责人Ben Hawkes表示，预计零日漏洞将于11月10日补丁发布，也就是微软下一个补丁星期二的发布日期。霍克斯在推特上说，Windows零日攻击（跟踪为CVE-2020-17087）被用作两次打孔攻击的一部分，另外一个Chrome零日攻击（跟踪为CVE-20

尽管Google尽最大努力保护Android用户的安全，但恶意软件确实会不时地侵入Google Play，而Avast最近发现的21个恶意应用程序就是证明。针对游戏玩家，这些应用程序包含HiddenAds系列的广告软件。令人反感的应用似乎在被发现之前已被下载了约800万次。Avast解释说，HiddenAds恶意软件构成了有趣或有用的应用程序，但实际上在应用程序外部提供了侵入性广告。通常，恶意软件

1。执行摘要CISA知道有多个带有概念证明（PoC）漏洞利用代码的蓝牙低功耗（BLE）漏洞的公开报告，这些漏洞影响使用BLE无线通信的供应商提供的大量IOT，智能家居，可穿戴和医疗设备技术。该报告的发布没有与一些受影响的供应商进行协调，也没有与CISA进行事先协调。CISA已将该报告通知了一些受影响的供应商，并已要求供应商确认漏洞并确定缓解措施。CISA继续尝试通知受影响的供应商，并将在信息可用时

分子通过特斯拉的一名员工将特斯拉作为目标客户，据称他们承诺向特斯拉支付100万美元，以帮助他们用恶意软件感染该公司的系统。幸运的是，这种犯罪行为遭到了一名正直的员工的挫败，但它突显了恶意攻击者在企图危害公司网络并获取敏感信息的过程中变得多么卑鄙。内部人作为脆弱点的风险特斯拉网络攻击突显了内部人员（例如员工）对公司数据造成的漏洞。即使组织通过部署防火墙，防病毒系统，渗透测试和恶意软件防护来增强安全性

详情IBM Security Access Manager 9.0.7和IBM Security Verify Access 10.0.0容易受到HTTP响应拆分攻击的攻击。远程攻击者可以使用特制URL来利用此漏洞，一旦单击URL，服务器将返回拆分响应。这将使攻击者可以进行进一步的攻击，例如Web缓存中毒，跨站点脚本编写，并可能获取敏感信息。IBM X-Force ID：165960。原始资料网址

谷歌安全研究人员在Linux内核中发现了蓝牙漏洞（BleedingTooth），该漏洞可能允许零点击攻击。谷歌安全研究员安迪·阮（Andy Nguyen）在Linux内核中发现了蓝牙漏洞，称为BleedingTooth，攻击者可以利用该漏洞运行任意代码或访问敏感信息。BleedingTooth缺陷被跟踪为CVE-2020-12351，CVE-2020-12352和CVE-2020-24490。其中

风险低可用补丁没有漏洞数量5CVE IDCVE-2020-6104CVE-2020-6108CVE-2020-6107CVE-2020-6106CVE-2020-6105CWE编号CWE-125CWE-787CWE-200CWE-73开发矢量本地公开利用不适用安全咨询1）越界读取风险：低CVSSv3：4.1 [CVSS：3.0 / AV：L / AC：L / PR：H / UI：N / S：U /

2020年10月13日，阿里云应急响应中心监测到微软发布补丁修复了TCP/IP远程执行代码漏洞（CVE-2020-16898），官方评级严重。目前微软官方已提供相应的月度安全补丁以修复该漏洞。漏洞描述微软官方于10月13日发布安全更新，其中修复了一个TCP/IP远程执行代码漏洞（CVE-2020-16898），攻击者通过构造并发送恶意的ICMPv6（路由通告）数据包，从而控制目标主机。同时，微软1

总览Acronis True Image，Cyber Backup和Cyber Protection都包含特权升级漏洞，这些漏洞可以使没有特权的Windows用户能够以SYSTEM特权运行任意代码。描述CVE-2020-10138Acronis Cyber Backup 12.5和Cyber Protect 15包含一个OpenSSL组件，该组件将OPENSSLDIR变量指定为的子目录C:\jen

2020年10月13日，阿里云应急响应中心监测到Apache Solr发布安全更新，其中修复了CVE-2020-13957 Apache Solr configset upload文件上传漏洞。攻击者通过构造特定的请求，成功利用该漏洞可直接获取服务器权限。漏洞描述Apache Solr是一个开源的搜索服务，使用Java语言开发。Apache Solr Configset Api上传功能存在未授权漏

风险中可用补丁是漏洞数量2CVE ID不适用CWE编号CWE-79CWE-89开发矢量网络公开利用不适用易受攻击的软件phpMyAdminWeb应用程序/远程管理和托管面板

安全漏洞影响IBM Cloud Pak for Data-Node.js（CVE-2019-15606，CVE-2019-15604，CVE-2019-15605）风险：中危受影响的产品和受影响的版本：受影响的产品版本IBM Cloud Private for Data2.5请参考以下参考URL以获取补救和其他漏洞详细信息： 源公告：https://www.ibm.com/support/page

FortiGuard实验室威胁研究报告受影响的平台：Windows受影响的各方：Adobe Illustrator 2020 24.2和更早版本，InDesign 15.1.2和更早版本，After Effects 17.1.1和更早版本，Animate 20.5和更早版本的用户影响：任意代码执行严重级别：严重这个星期二（2020年10月20日），Adobe发布了安全更新，以解决10种产品中的20

近期，《GBT 22240-2020 信息安全技术 网络安全等级保护定级指南》（以下简称定级指南）正式实施。作为国家等级保护标准体系的核心之一，定级指南于2020年4月28日发布，2020年11月正式实施，有哪些需要注意的地方呢？等级保护对象范围扩大定级指南提到以下内容作为等级保护对象的网络应具有如下基本特征：具有确定的主要安全责任主体；承载相对独立的业务应用；包含相互关联的多个资源。等保保护定级

未知的威胁参与者正在扫描在15万多个站点上安装了Epsilon Framework主题的WordPress网站，这些站点容易受到功能注入攻击的攻击，这些攻击可能导致整个站点被接管。Wordfence QA工程师兼威胁分析家Ram Gall说：“到目前为止，我们已经针对超过150万个针对这些漏洞的网站发起了超过750万次攻击，这些攻击来自18,000多个IP地址。”持续不断的针对潜在易受攻击的Wor

Microsoft已安装了本月初发布的安全更新，以解决CVE-2020-17049的问题，并发布了带外可选更新，以解决导致企业域控制器上的Kerberos身份验证问题的已知问题。CVE-2020-17049是可远程利用的Kerberos约束委派（KCD）安全功能绕过安全性漏洞，存在于KDC确定服务票证是否可用于委派的方式中。Kerberos取代NTLM协议，将其作为Windows 2000之上所有

本月的补丁程序星期二解决了Windows零日问题，发布了112个漏洞，其中17个漏洞很严重。微软今天在Windows内核中修补了一个零日漏洞，该漏洞目前正在被广泛使用。“ 11月补丁程序星期二”部署包括112个补丁程序，其中17个被评为严重。今天修复的漏洞存在于产品和服务中，包括Microsoft Windows，Office和Office Services和Web Apps，Internet E

来自加利福尼亚大学和清华大学的一群学者发现了一系列严重的安全漏洞，这些漏洞可能导致DNS缓存中毒攻击的复兴。这种技术被称为“ SAD DNS攻击”（Side-channel AttackeD DNS的缩写），该技术使恶意攻击者可以进行路径外攻击，将最初发往特定域的所有流量重新路由到受其控制的服务器，从而允许他们窃听和篡改通信。研究人员说：“这是一个重要的里程碑，这是第一个可武器化的网络侧通道攻击，

微软已经发布了2020年11月的Office安全更新，针对7种不同的产品进行了总共22个更新和5个累积更新，修复了14个漏洞，其中五个漏洞可能使远程攻击者能够在易受攻击的系统上执行任意代码。本月Office安全更新的重点是CVE-2020-17061，该漏洞是由Micro Focus Fortify的Oleksandr Mirosh发现的一个高度严重的Microsoft SharePoint漏洞，

英特尔在2020年11月补丁程序星期二解决了95个漏洞，其中包括影响英特尔无线蓝牙产品和英特尔主动管理技术（AMT）的严重漏洞。英特尔在其产品安全中心发布的40项安全公告中详细介绍了这些问题，该公司已通过英特尔平台更新（IPU）流程向用户提供了安全和功能更新。英特尔在每个通报的末尾提供了所有受影响产品的列表以及针对易受攻击产品的建议，以及希望报告英特尔品牌产品或技术中发现的其他安全问题或漏洞的人员

在美国联邦调查局已发出闪光警告被身份不明的威胁组织正在积极针对弱势SonarQube情况下，以美国政府机构和私人企业的访问源代码库。该机构指出，自四月份以来，黑客一直在利用SonarQube实例中的已知配置漏洞来获取访问权限并泄露专有代码，然后公开发布数据。FBI警报最初是在10月作为私人警报分发给组织的，但在周二向该局的互联网犯罪投诉中心公开发布。SonarQube是一个用于自动化代码质量审核和

一项新的研究表明，该技术可使攻击者绕过防火墙保护，并远程访问受害计算机上的任何TCP / UDP服务。称为NAT滑流，此方法涉及向目标发送指向恶意站点（或加载了恶意广告的合法站点）的链接，该链接在被访问时最终触发网关打开受害者上的任何TCP / UDP端口，从而绕开浏览器-基于端口的限制。隐私和安全研究员Samy Kamkar在周末揭露了这一发现。“ NAT滑流结合了通过定时攻击或WebRTC链接

在最近一次渗透测试中，我发现了一个容易受到CVE-2020-1147影响的SharePoint实例。我被要求在不运行任何命令的情况下构建Web Shell，以避免任何可能部署在主机上的EDR解决方案。由于目标SharePoint服务器以最小的特权在IUSR用户下运行，因此我们不能简单地通过利用反序列化漏洞（CVE-2020-1147）在Web目录中创建Web Shell。我记得以前在运行Power

Windows的一个鲜为人知的功能允许红色团队或攻击者将服务隐藏在视线之外，从而有机会规避基于主机的常见威胁搜寻技术的检测。在最近的一次红队交锋中，我的球队与一些训练有素，经验丰富的后卫对抗。我们构建了自定义恶意软件来逃避预期的EDR平台，但我们知道主机分析最终将使我们陷入困境，并迅速从目标组织中撤离。PSC:\WINDOWS\system32Get-Service-NameSWCUEngine

Microsoft已发布安全更新，以解决影响Windows Codecs库和Visual Studio Code的远程代码执行漏洞。攻击者可能利用这些漏洞来控制受影响的系统。网络安全和基础结构安全局（CISA）鼓励用户和管理员查看CVE-2020-17022和CVE-2020-17023的Microsoft安全公告，并应用必要的更新。

美国网络司令部（USCYBERCOM）警告，用户应为Microsoft软件应用最新补丁，以确保他们不会成为利用攻击的受害者。美国网络司令部指出，这些问题中最重要的是CVE-2020-16898，这是Windows TCP / IP堆栈中的关键错误，可以远程触发该漏洞，从而有可能在受害计算机上实现远程代码执行。尽管远程代码执行可能不容易实现，但Sophos展示了如何利用此漏洞导致“蓝屏死亡”（BSo

Zerologon如何运作？Netlogon远程协议是Windows Server中的客户端身份验证体系结构使用的一种机制。它的作用是验证会话登录并注册，认证和定位域控制器。这样，它可通过客户端和充当域控制器的服务器之间的加密来确保安全通道，并使用户能够登录服务器。现在，由于Netlogon协议中AES-CFB8的实施不正确，攻击者可以在没有任何其他要求的情况下设置新密码，从而完全控制DC并获得管

在本月定期计划的Microsoft更新中，有11个严重的bug和6个未修补，但已为公众所知。微软在10月发布了针对87个安全漏洞的修复程序-其中11个为严重漏洞-其中1个可能是蠕虫病毒。十月的补丁程序星期二包括对Microsoft Windows，Office和Office Services和Web Apps，Azure函数，开放源代码软件，Exchange Server，Visual Studi

编者按蓝军（Red Team）的价值是站在攻击者的位置从实战角度协助防守方发现问题，避免防守方在进行安全建设时以自我为中心纸上谈兵，所谓以攻促防是也。蓝军的实战经验很重要，本文即是腾讯蓝军团队两位经常参与各类红蓝对抗赛事成员的经验之谈，欢迎与大家探讨。近年来各种大规模的红蓝对抗赛事方兴未艾，攻防实战受到了更多的重视。红队和蓝队的打法逐渐提升并趋于成熟，已不再是单方面的攻击与防御，而演变为攻防博弈和

使用验证码的网络钓鱼攻击使用验证码的网络钓鱼攻击–网络犯罪分子使用多个验证码攻击其目标。他们安装了Office 365用户必须在网络钓鱼页面之前单击的各种验证码。这些攻击一直在发生，并以医疗保健机构为目标。犯罪分子一直在使用视觉验证码来规避暴露并显示真实。1-什么是验证码？网站通常使用CAPTCHA来确定和测试用户是否为人类。完成测试，例如，单击具有自行车或消防栓图片的零件，或具有特定图像的网格。

网络钓鱼仍然是当今企业面临的最重要的风险媒介之一。诸如Office 365的Microsoft Defender之类的创新电子邮件安全技术可以在大多数网络钓鱼攻击击中用户收件箱之前将其阻止，但是世界上没有一种技术可以阻止100％的网络钓鱼攻击击中用户收件箱。在那时，您的员工将成为您的捍卫者。必须对他们进行培训以识别和报告网络钓鱼攻击。但是，并非所有培训都同样熟练。该博客检查了安全意识培训的当前状态

作者： Aamir Lakhani | 2020年10月5日到2020年，网络结构和攻击策略的不可预见的变化已在网络安全行业中消失了。随着COVID-19大流行继续对全球组织和个人造成重大损失，我们现在正面临着越来越严重的威胁态势，复杂，比以往任何时候都饱和。而且，许多组织发现分配足够的资源来管理和缓解这些不断增长和不断发展的威胁具有挑战性，而由于突然过渡到完全偏远的工作场所而已面临运营挫折。考虑

背景：Qakbot银行木马是当前威胁形势下的顶级恶意软件家族之一。它在大规模垃圾邮件活动中分发，窃取机密信息，还提供了勒索软件运营商的访问权限。预防和检测到这种威胁已成为许多组织的首要任务，因为成功感染会导致代价高昂的网络事件。在此博客中，我旨在共享由开放源代码提供的有关此恶意软件的更多信息，并重点介绍用于应对这种威胁的情报收集过程。Qakbot（也称为Quakbot或Qbot）自2008年以来一

艾斯文件病毒什么是艾斯病毒？Iiss被称为一种勒索软件感染，导致对计算机操作系统和个人数据的破坏。该恶意软件已在针对全球用户的积极活动中发布。安全研究人员已报告该病毒是臭名昭著的STOP勒索软件的一种。它似乎是另一个变种，旨在对可能存储有价值的个人信息的文件进行编码。它的名称来自该病毒附加到其锁定的每个文件的恶意扩展名.iiss。如何识别Iiss Ransomware病毒？攻击结束后，Iiss勒索

Mandiant看到涉及Microsoft 365（M365）和Azure Active Directory（Azure AD）的事件有所增加。这些事件大多数是网络钓鱼电子邮件强迫用户输入用于访问M365的凭据到网络钓鱼站点的结果。其他事件是由于对M365租户进行了密码喷洒，密码填充或简单的蛮力尝试导致的。在几乎所有这些事件中，用户或帐户都不受多因素身份验证（MFA）的保护。这些机会主义攻击肯定是

Rampant Kitten威胁小组针对电报凭证等进行的广泛监视活动的一部分，已经发现了一种新的Android恶意软件菌株。研究人员发现威胁组织发起了针对受害者的个人设备数据，浏览器凭据和电报消息应用程序文件的监视运动。该小组武器库中一个值得注意的工具是一个Android恶意软件，该恶意软件收集发送到设备的所有两因素身份验证（2FA）安全代码，嗅探Telegram凭据并发起Google帐户网络钓鱼

迷宫勒索软件操作者采用了Ragnar Locker团伙先前使用的策略；从虚拟机中加密计算机。虚拟机会将主机驱动器安装为远程共享，然后在虚拟机中运行勒索软件以加密共享文件。由于虚拟机未运行任何安全软件，并且正在安装主机的驱动器，因此主机的安全软件无法检测到恶意软件并将其阻止。与Ragnar Locker先前的攻击相比，这在磁盘大小方面是一种昂贵的攻击方法。由于Ragnar Locker的VM攻击使用

什么是Lokibot恶意软件？Lokibot，也称为Loki-bot或Loki bot，是一种信息窃取恶意软件，可从最广泛使用的Web浏览器，FTP，电子邮件客户端以及被感染计算机上安装的一百多种软件工具收集数据。它是在前苏联国家之一开发的。它是由创作者发布的销售公告于2015年5月3日首次发现的，该恶意软件至今仍处于活动状态。Lokibot的一般描述Lokibot间谍软件的最初版本最初是由称为“

执行摘要在2020年7月6日和7月9日，我们观察到与对中东和北非的两个国有组织的攻击有关的文件，这些组织最终安装并运行了Thanos勒索软件的变体。Thanos变体创建了一个文本文件，该文件显示赎金消息，要求受害者将“ 20,000 $”转入指定的比特币钱包以恢复系统上的文件。我们无法了解这些攻击的总体影响，也无法了解威胁行为者是否成功从受害者那里获得了付款。图1.加密文件后显示的Thanos赎金

概述近日，奇安信病毒响应中心在日常黑产挖掘过程中发现一种利用支付宝支付和微信支付进行诱导诈骗的新型黑产项目，在地下论坛中被称为“暗雷”和“明雷”。

【文章摘要】腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃，攻击者疑通过弱口令爆破方式投递勒索病毒。该攻击者同时携带2款勒索病毒样本，一款为C#编写的勒索模块，加密添加.aes扩展后缀。另一款为Delphi编写的Scarab勒索模块，加密添加.lampar扩展后缀。腾讯电脑管家可查杀拦截此病毒。一、概述腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者

【文章摘要】腾讯洋葱反入侵系统检测发现PyPI官方仓库被恶意上传了request钓鱼包，攻击者通过钓鱼包实施窃取用户敏感信息及数字货币密钥、种植持久化后门、远程控制等一系列攻击活动。腾讯安全应急响应中心（TSRC）建议各开源镜像站以及对开源镜像站有依赖的公司尽快自查处理，确保清除恶意库，保障用户系统安全。一、概述8月5日，腾讯洋葱反入侵系统检测发现PyPI官方仓库被恶意上传了request钓鱼包，

Zix / AppRiver威胁团队对Phorphiex / Trik僵尸网络及其广泛的攻击并不陌生。在6月4日（星期四），我们开始捕获由同一僵尸网络分发的活动，该活动反映了我们在去年4月防御和分析的僵尸网络所使用的技术，战术和程序。但是，此活动提供了新的Avaddon勒索软件，该软件转换为Abaddon，意味着厄运或破坏。这些消息的主题非常简单。所有这些都包含各种主题行，试图诱使收件人打开“照片

7月2日，我们找到了一个带有嵌入式文件的存档文件，该文件伪装成来自印度政府。此文件使用模板注入来删除加载了Cobalt Strike变体的恶意模板。一天后，同一威胁参与者更改了模板，并放下了一个名为MgBot的加载程序，通过使用Windows上的应用程序管理（AppMgmt）服务来执行并注入其最终有效负载。7月5日，我们观察到另一个带有嵌入式文件的存档文件，该文件借用了英国首相鲍里斯·约翰逊（Bo

在该博客的第一部分中，我完成了对新发现的Rootnik恶意软件变体的本机层的分析，并获得了解密后的真实DEX文件。在第二部分中，我们将继续进行分析。看解密的真实DEX文件解密的DEX文件的条目是demo.outerappshell.OuterShellApp类。类OuterShellApp的定义如下所示。图1.类demo.outerappshell.OuterShellApp我们将首先分析函数at

背景Loki Bot已被观察多年。如您所知，它旨在从受害者计算机上已安装的软件中窃取凭据，例如电子邮件客户端，浏览器，FTP客户端，文件管理客户端等。FortiGuard Labs最近捕获了一个PDF样本，该样本用于传播新的Loki变体。在此博客中，我们将分析此新变体的工作原理以及它所窃取的东西。PDF样本图1. PDF示例的内容PDF样本仅包含一页，如上所示，其中包含一些社会工程学内容，以诱使用

2019年TA505组织攻击统计在过去的六个月中，积极技术专家安全中心的威胁情报团队一直密切关注TA505网络犯罪组织。恶意因素被吸引到金融领域，其目标分散在多个大洲的数十个国家中。TA505组织以什么有名？该cybergang已经相当多产从2014年起：他们的武器库包括Dridex银行木马，僵尸网络中微子，以及Locky，JAFF，GlobeImposter和其他勒索。从北美到中亚，全世界都发现

数以千计的HiddenAds Trojan应用程序伪装成Google Play应用程序McAfee移动研究团队最近发现了HiddenAds Trojan的新变种。HiddenAds Trojan是一个广告软件应用程序，用于显示广告和收集用户数据以进行营销。此类应用程序的目标是通过将用户重定向到广告来产生收入。广告软件通常有两种赚钱的方法：在用户计算机上展示广告以及用户点击广告后的每次点击付款。尽管

在我们的第一篇文章中，我们讨论了有针对性的勒索软件攻击的增长模式，其中第一个感染阶段通常是一种信息窃取类恶意软件，用于获取凭据/访问权以确定目标是否对勒索软件攻击有价值。在第二部分中，我们将从中断的地方继续前进：攻击者可以通过控制受感染的主机来在网络上立足，或者拥有有效的帐户来访问远程服务。使用有效的帐户或有权访问公司系统的东西，您要了解的前两件事是：我可以从这台机器获得什么样的权利？我在这个网络

多年来，我一直在数字取证，恶意软件分析和威胁情报领域工作和教学。在上一堂课时，我们总是谈论洛克的交换原则：“两个项目接触，就会进行交换”。如果我们将其转换为数字世界：“当对手违反系统时，他们将留下证据的痕迹”。面临的挑战通常是如何及时发现证据以采取行动并发现可用于检测的来源。易失性证据来源必须尽快得到保护，而非易失性证据来源的优先级较低。波动顺序的一个例子：在本系列的两篇文章中，您将看到一个示例，

威胁行动者正在不断创造出更复杂的方式来使恶意软件逃避防御。我们已经观察到Netwalker 勒索软件攻击所涉及的恶意软件不是经过编译而是用PowerShell编写，而是直接在内存中执行，而没有将实际的勒索软件二进制文件存储到磁盘中。这使该勒索软件变种成为无文件的威胁，从而使其能够保持持久性并通过滥用系统中已经存在的工具来发起攻击来逃避检测。这种类型的威胁利用了一种称为反射式动态链接库（DLL）注入

我们最近注意到MalwareHunterTeam 在Twitter上发布的帖子显示Java下载器的检测率较低。其名称为“由于Covid-19爆发CI + PL.jar而导致的公司PLP_Tax减免”，表明它可能已用于以Covid-19为主题的网络钓鱼活动。运行该文件导致下载了一个用Node.js编写的，未检测到的新恶意软件样本。该木马被称为“ QNodeService”。对于编写商品恶意软件的恶意

赋值和浅拷贝的区别一直以为对象赋值和对象浅拷贝是一样的，但实际上它们还是有很大差异。先看赋值，将一个对象赋值给一个新的对象的时候，赋的其实是该对象在栈中的地址，而不是堆中的数据。 也就是一个对象的改变就会改变另外一个对象。再看浅拷贝，浅拷贝会创建一个对象，再去遍历原始对象，如果原对象的属性值是基础类型，那么就拷贝基础类型，如果是引用类型，则拷贝的是指针。是不是有点蒙蔽？看一个例子：varobj1=

JS数组求和的常用方法。一、for循环vararr=[1,2,3];

functionsum(arr){

vars=0;

for(vari=0;iarr.length;i++){

s+=arr[i];

}

returns;

}

console.log(sum(arr));//6二、forEach遍历vararr=[1,2,3];

functionsum(arr){

vars=0

要比较两个函数哪个性能更好，一个直观且公平的方法就是计算两个函数分别执行完的时间。良好的性能更容易好的用户体验，而好的用户体验更能留住用户。 研究表明，由于性能问题，在88％的在线消费者对用户体验不满意后，他们不太可能会二次使用。这也是为什么要提高性能的一个重要原因。 特别是使用 JS 开发时，编写的每一行 JS 都可能会阻塞DOM，因为它是单线程语言。本次分享，我们主要介绍如何计算函数的性能。P

为什么要进行事件委托？首先实现一个小功能：在单击 HTML 的按钮后，把消息输出到控制台。为了实现这个小功能，你需要选择按钮，然后再用addEventListener()方法来附加事件监听器：buttonid=buttonIdClickme/button

script

document.getElementById('buttonId')

.addEventListener('click

一般我们常见placeholder伪类选择器用来修改默认样式及文案，忽然发现placeholder-shown伪类选择器，比较官方的解释是CSS伪类表示任何显示占位符文本的form元素。简单来说就是当输入框的placeholder内容显示的时候，输入框干嘛干嘛。【相关推荐：css在线手册】兼容性如下，在移动端没什么问题placeholder-show是如何工作的？:placeholder-show

毫无疑问，JavaScript 是Web开发中最流行的编程语言之一。 无论使用的是 React，Vue 还是Angular，都只是 JavaScript。 JS围绕着广阔而至关重要的生态系统发展，提供了无数的框架和库，可帮助我们更快地开发应用程序。但是有时候最好退一步，尝试了解如何在没有使用库的情况下做事。 看看下面的代码片段，它们以优雅的方式解决了简单的问题，在日常项目也很实用，所以记好笔记，当

我正在做一个项目，其中有一个倒序的列表。列表创建时间降序排序的，这里我想在语义和视觉上都能体现出来(让列表显示对应的编号，编号越大表示是最新的)。网上做了一些研究，找到了一些有趣的解决办法，有些很好，有些就不那么好了。最终结果类似如下:CBA接着，我们来看看有哪些实现的方式。HTML中的reversed属性简单，最直接的解决方案是HTML中的reversed属性。olreversed

liC/l

reduce()方法对数组中的每一个元素执行一个reducer函数(由你提供)，从而得到一个单一的输出值。reduce()方法将一个数组中的所有元素还原成一个单一的输出值，输出值可以是数字、对象或字符串。reduce()方法有两个参数，第一个是回调函数，第二个是初始值。回调函数回调函数在数组的每个元素上执行。回调函数的返回值是累加结果，并作为下一次调用回调函数的参数提供。回调函数带有四个参数。Ac

本篇文章给大家分享一份window.location备忘单！了解如何更改URL属性以及如何在JavaScript中重定向或刷新页面。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。如果你想获取站点的URL信息，那么window.location对象什么很适合你！使用其属性获取有关当前页面地址的信息，或使用其方法进行某些页面重定向或刷新window.location.origin→'

本篇文章给大家介绍一下使用纯CSS实现火焰动画效果。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。正文从下面开始。今天的小技巧是使用纯 CSS 生成火焰，逼真一点的火焰。嗯，长什么样子？在 CodePen 上输入关键字CSS Fire，能找到这样的：或者这样的：我们希望，仅仅使用 CSS ，效果能再更进一步吗？能不能是这样子：如何实现嗯，我们需要使用filter+mix-blen

项目过程中，开始使用了js的requestAnimationFrame方法实现进度条，但是在数据超级多的时候非常影响性能，如此改用css去实现，优化。先贴代码：!DOCTYPEhtmlhtmlheadmetacharset=UTF-8metaname=viewportcontent=width=device-width,initial-scale=1.0metahttp-equiv=X-UA-Co

这是一份备忘单，展示了不同的导出方式和相应的导入方式。 它实际上可分为3种类型：名称，默认值和列表 。//命名导入/导出

exportconstname='value'

import{name}from'...'

//默认导出/导入

exportdefault'value'

importanyNamefrom'...'

//重命名导入/导出

export{nameasnewN

根据CSS Scroll Snap Module Level 1规范，CSS 新增了一批能够控制滚动的属性，让滚动能够在仅仅通过 CSS 的控制下，得到许多原本需要 JS 脚本介入才能实现的美好交互。Tips：本文截的一些 Gif 图涉及容器滚动，效果不是很好，可以点进 Demo 里实际感受下。sroll-snap-type首先看看sroll-snap-type可能算得上是新的滚动规范里面最核心的

本篇文章给大家介绍一下巧用 CSS 实现酷炫充电动画效果的方法。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。循序渐进，看看只使用 CSS ，可以鼓捣出什么样的充电动画效果。画个电池当然，电池充电，首先得用 CSS 画一个电池，这个不难，随便整一个：欧了，勉强就是它了。有了电池，那接下来直接充电吧。最最简单的动画，那应该是用色彩把整个电池灌满即可。方法很多，代码也很简单，直接看效

display: contents是一个比较陌生的属性，虽然属于 display 这个基本上是最常见的 CSS 属性，但是contents这个取值基本不会用到。但是它早在 2016 年就已经得到了 Firefox 的支持。本文将深入一下这个有意思的属性值。基本用法根据W3C对display: contents的定义。The element itself does not generate any 

CSS如何实现带圆角的渐变边框？下面本篇文章给大家介绍一下使用CSS巧妙实现带圆角的渐变边框的几种方法。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。如何实现下面这个渐变的边框效果：这个问题本身不难，实现的方法也有一些，主要是有一些细节需要注意。border-imageborder-image是 CSS 规范CSS Backgrounds and Borders Module L

本篇文章给大家通过代码示例介绍一下纯CSS3如何实现兔斯基动态害羞表情？有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。直接分享代码吧：html结构：divclass=tuzki_container

divclass=tuzki

divclass=leftear/div

divclass=rightear/div

divclass=header

divclass=left

本篇文章给大家分享九款纯CSS3制作的可爱复古相机（代码示例）。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。PS： 有人会说，这些东西实用性不强，没啥用。一开始我也是这么觉得，但后来我就改变自己的看法。首先，实用性目前来说确实不强，或者说应用范围很窄。但其实它可以提高自己的创意思维，css3的综合运用以及html代码的优化。当自己熟练使用的时候，会渐渐发现自己在重构那一块更加有

本篇文章给大家介绍一下css多栏自适应布局。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。首先，在这里我将从最简单的两栏固定布局慢慢讲到多栏自适应布局。1、固定布局说到固定布局想必大家已经觉得无爱了，但我还是要简单地讲一下，下面通过一个简单的实例进行讲解：html代码：divclass=wrap

divclass=leftleft/div

divclass=rightrigh

本篇文章给大家介绍一下CSS清除浮动的几种方法。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。首先这里就不讲为什么我们要清楚浮动，反正不清除浮动事多多。下面我就讲三种常用清除浮动的方法，够用了。1、在浮动元素后面加一个空的div，并为它清除浮动html代码：divclass=wrap

divclass=float浮动/div

divclass=clear/div

divcl

文件名文件大小提取码下载来源临摹练习素材2.55M2333点此复制登录下载之前有很多人问我能不能出一篇关于布尔运算的详细文章或视频，因为工作原因一拖再拖，自己想了想躲得过初一躲不过十五，最终我还是利用一周好好理了一下思路出一篇文章，为何用那么久去理思路？是因为我想大家更简单更容易的去理解它，而不是写一些官方理论。文章里面也包含了低、中、高等级的练习方法，希望这篇文章对想学习布尔运算的小伙伴来说有所

我们在设计产品的时候，有时不知道如何提升产品使用路径的体验，如何设计适应不同设备不同场景的统一性。此篇文章会通过设计腾讯文档在线收集表，介绍我们通过「角色体验地图」提升产品体验路径，并且如何搭建多设备多场景的响应式框架的方法。期待给大家带来启发帮助。腾讯文档收集表作为腾讯文档的重要品类，为用户提供基础收集、打卡、接龙、试卷等多样的信息收集模式，可收集百万份信息。并且在疫情期间发挥了信息收集的作用，

你是不是经常在群里看到：“这个素材网站大家有会员吗，麻烦帮忙下载一下”。这样的留言在设计群比比皆是，那么问题来了，素材模版该不该用呢？本文就和大家一起来聊聊这个话题。素材模板如何定义素材模版是由供图者发布在一些素材平台，通过免费或者付费提供给需要的用户。使用素材不同于抄袭，是可以被认可的，素材拼凑完成项目设计也是较为常见的形式。相信很多设计师都有使用素材模版的经历，对于初入职场的设计师来说这是提高

编者按：在上一篇《2021年平面和视觉流行设计趋势》当中，资深设计师Iveta Pavlova 总结的12个平面设计趋势，这篇同样来自于她，是关于LOGO 设计的11个趋势：LOGO 是品牌设计当中最为重要的一环，LOGO 本身的设计不仅昭示了品牌的身份，甚至可以表现品牌的价值观和特点。你可能想开拓新的领域，或者重塑旧有的业务，又或者是基于 2020 或者2021 年的新趋势，将原本的 LOGO 

有时候我们需要一些好看的背景素材，时间一紧张可能就做得不咋地，没关系，今天给大家推荐一个自动生成背景纹理的网站。https://glitchart.io/可谓是非常优秀。不过我看它网站上的默认颜色没那么理想，比如：我觉得效果不理想的原因可能是颜色用的太多太杂了：这么多的颜色，饱和度又都那么高，很难驾驭的。所以我建议大家先从两个色相用起，比如我们就用蓝紫渐变：但这样可能有点单调，我们可以再延展一个，

重复图案在我们的大自然中可以说是很常见了，比如说蜜蜂的蜂巢、斑马的纹路再或者是蟒蛇的鳞片。多年以来，很多的设计师们也以此作为灵感，创作出了很多经典的作品，而且几乎在任何的设计领域都能见到图案的影子，这些图案风格独特，而且都源自于不同的文化。有着各自的艺术风格。图案设计就像是一个兼具了统一与变化的藏宝库，等待着每一位设计师去尝试挖掘。1990年代末，考古学家在南非的布隆伯斯洞窟的岩壁上发现了一组图案

近一年，随着iOS和安卓陆续支持了深色模式，各个团队的一通操作，也的确为用户带来“眼前一黑”的体验。深色模式也成为了前阵子业界最火的话题之一。只是当设计师看了无数的关于深色模式的讨论；当无数产品跟进上线了深色模式；再当无数App的深色模式被骂的改了又改，回头来看看，你说的黑，到底是什么黑。我所经历过的深色模式虽然说，我真正开始做UI设计是近年，但是曾经还是体验过很多深色模式的界面的。甚至有很多产品

“满版构图”是将图片、文案和设计元素等充满整个版面，营造出丰富的画面效果，具有极强的代入感以及视觉感受，传递的情感也更加丰沛。为了让大家加深对“满版构图”的理解，运用上一期知识点进行一则敦煌旅游海报实操演示。方案一寻找敦煌景点具有代表性的飞天人物壁画图片，将图片放大铺满整个版面。根据人物的动作将放置文字的空间划分为上下两部分。版面上部分的空间放置信息为敦煌的景点介绍。选择具有历史文化感的篆书、隶书

大家肯定有过这样的体验，有些网站在电脑端使用起来还不错，但是并没有做相应的移动端口的适配，导致在用手机浏览的时候，非常不便，大大降低了网页的使用率。随着移动端设备的不断普及和发展，导致网页设计也从原来的电脑端，过渡到了移动端。这也就要求我们设计一个网页的时候需要去适配不同的设备。而我们都知道，网页设计是整体且系统的，在设计过程不能各自适配各自的端口，那样会导致整个网页设计的项目不统一。再加上现在各

我们在画图标的时候，往往会忽略掉一个重要的问题：缺失品牌感。也就是说，这个图标和我们的实际品牌、业务并没有什么联系，它仅仅满足了可辨识这个温饱需求。图标缺失品牌感，就会导致同质化的问题，这些图标放在任意一个产品上都可以通用。对于产品，记忆点的缺失导致用户看完后对于我们的业务、品牌不会产生任何深刻的印象。对于我们设计师，图标和业务的断层则很容易让我们陷入反复改稿的被动局面，并且设计话语权也越来越小。

背景“操作系统对我们而言已不是最重要的了，更重要的是应用和服务。” [1]- 微软 CEO Satya Nadella去年微软发布的便携折叠屏设备 Surface Duo 首次搭载了来自 Google 的安卓系统，而微软 CEO 也在随后的采访中表示 Windows 系统已不是微软未来的重心，他们更关心开发者如何为这些设备创造应用，无论这个平台是 Windows 还是安卓。与此同时，为了更好地服务

饿了么蓝骑士作为本地生活的重要支撑，为我们每天的餐食带来便利。我们能否通过打造一个虚拟的蓝骑士形象，在各类传播触点中拉近与他们之间的距离，从而辅助提升平台的运营能力？项目背景面对几百万的饿了么骑士大军，我们每天都在对他们进行着「运营」和「维护」。与运维一台服务器不同的是，这些身穿蓝色制服、头顶风吹日晒、每天挥汗如雨穿梭大街小巷的人们，他们有血有肉、感情充沛，每分每秒都在为生活而奋斗。面对他们，我们

一般聊到如何做数据分析的文章，都会从各个视角去介绍数据分析的思路和流程。但今天这篇文章，不会告诉你怎么按1234的步骤做数据分析，而是告诉你在数据分析中，不要做什么。正如查理芒格所言：“在生活和事业中，很多成功都来自于你避免了某些事情：比如早逝、糟糕的婚姻等。” 我相信，和“要做到好而深入的数据分析”相比，“不在数据分析中踩坑”会是更易于执行的事情，这是也这篇文章的诞生原因。以下的错误集合，都是从

快到年底最忙的时候了，一波接着一波的项目需求就要向你砸来，大量的图片素材抠起来实在是耽误时间今天我给大家带来了感动所有设计师神器5个抠图工具大测评！！！看看到底哪个才是抠图工具中的好手快跟紧脚步~本次测评我将围绕操作便捷度、抠图数量、抠图质量、网站功能、是否付费这5个维度来对这5个抠图神器进行测评~PS:为了得到一个比较客观的结果，我们将使用三类图片进行测试普通背景的图片边缘复杂的图片有透明效果的

什么是「设计自查」？设计自查是设计师常用的检验工具，经常以“自查表”形式呈现，可以帮助我们快速遍历设计方案，修正遗漏或不周。善用设计自查，不止可以避免在“设计评审”时被指出错误的尴尬，还可以帮助设计师消除思考盲点，系统化地锻炼与提升交互设计思维。如何打造「专属」交互设计自查表？设计自查好处多多，但谈起构建一个比较全面和完整的自查表，很多人顿感千头万绪，原因是交互设计在产品中处于一个交叉性非常强的位

有的时候，我们设计产品就是不断地找问题。遇到问题解决问题，这样就能设计出好的产品了吗？真实经验告诉我，并不是这样！因为问题是永远解决不完的，甚至一个问题的解决方案，还可能引发出另一个问题…△ by Cat Finnie @ Dribbble我们总认为到了新时代，产品设计就得学习很多新的用户体验法则。然而，事实并非如此。因为人类这个族群，其实人类进化得十分缓慢。几百年的变化，除了生活环境之外，行为心

这几年很常在网络上看到图片格式「WebP」，使用先进的压缩技术可有效减少文件大小，达到和 JPEG 格式相同图片质量，而现今在网页上较常看到的格式包括 PNG、JPG、GIF 和 WebP，如果就方便性来说前两者还是略胜，也是大家普遍都会用到的格式，但有许多网络服务考虑到流量和速度问题，会自动将图片转文件为 WebP，就能让用户在更短时间取得图片，尤其对网络速度相对较慢的网络来说特别有用。遇到 W

QQ-自习室是一款以学习为特色，基于手机QQ平台的陪伴型多人直播产品，简单来说就是一个线上的自习室。作为疫情期间诞生的创新小产品，它在资源有限的前提下也拿到了还算不错的成绩。作为独立负责它的交互实习生，我想透过一个学生的视角来给大家分享这一路我在线上自习场景探索过程中的发现与思考，希望能给正在阅读的你带来一定的启发。作为独立负责它的交互实习生，我想透过一个学生的视角来给大家分享这一路我在线上自习场

设计平平无亮点？？？不如看看这些仪式感设计在我们日常生活中，存在着各种各样的仪式感：婚庆、过节，升国旗奏国歌，它可以使我们的生活充满各种趣味性，是人们表达内心最直接的方式。而在互联网产品中，为了使用户的产品体验更贴近于真实生活、有情感共鸣，不少产品在仪式感这块也下不了不少功夫。不管是出于竞争需要，还是日常用户运营。所以这次写下这方面的内容，以便给自己的设计提供更好的切入点和灵感参考，避免毫无头绪。

QQ-自习室是一款以学习为特色，基于手机QQ平台的陪伴型多人直播产品，简单来说就是一个线上的自习室。作为疫情期间诞生的创新小产品，它在资源有限的前提下也拿到了还算不错的成绩。作为独立负责它的交互实习生，我想透过一个学生的视角来给大家分享这一路我在线上自习场景探索过程中的发现与思考，希望能给正在阅读的你带来一定的启发。作为独立负责它的交互实习生，我想透过一个学生的视角来给大家分享这一路我在线上自习场