本文机翻自:sonarsource介绍 在Composer 使用的主存储库 Packagist 上的包的研究之后,决定审查其对应的名为 PEAR 的包。它的使用逐渐减少,取而代之的是 Com...
利用Ghostbuster工具发现AWS云环境IP变更导致的Dangling IP
当你在AWS上部署基础设施时,你可以启动EC2实例,这些实例有一个与它们相关的IP。当你创建指向这些IP的DNS记录,但在EC2实例被赋予一个新IP或被销毁后忘记删除DNS记录时,你很容易受到子域劫持...
SolarWinds 公司:Web Help Desk 实例正遭攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士SolarWinds 公司提醒客户称,暴露到互联网的 Web Help Desk (WHD) 实例正在遭攻击,建议删除这些实例,以免遭访问...
Dubbo 源码分析
最近准备对Dubbo的历史漏洞进行分析,但觉得不懂Dubbo的设计和实现直接去分析漏洞比较困难,所以在分析漏洞前先分析Dubbo的源码及实现,值得一提的是Dubbo的官网也有非常详细的源码分析的过程。...
从真实事故出发:golang 内存问题排查指北
动手点关注 干货不迷路 👆前言在日常的生产环境中,内存出现问题引起的事故通常较为严重,且排查难度较高。本文从一次日常生产中遇到的事故出发,记录了详细(痛苦)的排查过程,最终给大家总...
利用 Ghostbuster工具发现AWS云环境 IP 变更导致的Dangling IP
更多全球网络安全资讯尽在邑安全当你在AWS上部署基础设施时,你可以启动EC2实例,这些实例有一个与它们相关的IP。当你创建指向这些IP的DNS记录,但在EC2实例被赋予一个新IP或被销毁后忘记删除DN...
如何使用s3sec检查AWS S3实例的读、写、删除权限
关于s3sec s3sec 是一款专门针对 AWS S3 实例的安全检测工具,在该工具的帮助下,广大研究人员可以轻松检测目标AWS S3 Buckets的读取、写入和删除权限。该...
云安全攻防矩阵(参考腾讯)
云安全攻防矩阵初始访问云服务器攻击方式实例登录信息泄露在购买并创建云服务器后,用户可以自行配置云服务器的登录用户名以及登录密码,Linux云服务器往往支持用户通过ssh的方式使用配置的用户名密码或SS...
区块链智能合约逆向初探
以太坊上的智能合约几乎都是开源的,没有开源的智能合约就无从信任。但有些智能合约没有开源,反编译是研究的重要方式,可通过直接研究EVM的ByteCode。 如何对合约进行逆向分析,下面结合ct...
Bug Bounty Tip | SRC漏洞挖掘案例学习
0x01 前言只能发一下大黄的实战案例,文字较少图较多。0x02 存储XSS实例一:实例二:参数带入的位置不同,输出在不同位置可导致XSS实例三:实例四:我在这里做个蠕虫证明,第一用户访问到被我插入p...
逆向工程入门教程第二篇,持续更新ing
WinterSolstice点击蓝字 关注我们一 加密函数1. base64加密函数(1)buuctf 刮开有奖1(未转换)二、功能函数1. 排序函数(1)buuctf 刮开有奖1(未转换)2.数学函...
CWE-1096 在没有正确锁定或同步的情况下创建单实例类实例
CWE-1096 在没有正确锁定或同步的情况下创建单实例类实例 Singleton Class Instance Creation without Proper Locking or Synchron...
9