聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Mirai 恶意软件正在利用 Spring4Shell exploit 感染易受攻击的 web 服务器并将其纳入DDoS(分布式拒绝服务)...
数据泄露检查之本地数据库安全
回顾过去,根据2020年的一项行业研究分析了全球 27,000 个本地数据库,得出了令人惊讶的发现。在大多情况下,本地数据库安全性很弱。好消息是可以管理风险以减少数据泄露的可能性。 研究中近...
CS学习笔记 | 6、DNS_beacon的作用
由于笔者在学习CS过程中,所看的教程使用的是3.x版本的CS,而我使用的是4.0版本的CS。因此域名配置实操部分是自己参考网上大量文章后自己多次尝试后的结果,所以难免出现错误之处,要是表哥发现文中错误...
用中国人写的红队服务器搞一次内网穿透练习
作者:猫咕七原文地址:https://www.freebuf.com/articles/network/324283.html一、viperViper 是中国人自主编写的一款红队服务器,提供图形化的操...
Weblogic SSRF漏洞
SSRF漏洞(服务器端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连...
【漏洞预警】VMware vCenter Server 信息泄露漏洞 (CVE-2022-22948)
01漏洞描述VMwarevCenter Server 是一款高级服务器管理软件,提供了一个集中式平台来控制vSphere 环境,以实现跨混合云的可见性。来自 VMware 合作伙伴的 vS...
手把手搭建 k8s docker 漏洞环境
一、前言此环境为复现 docker 以及 k8s 容器逃逸的集成漏洞环境。涉及以下漏洞:1、docker privileged 特权模式2、参数SYS_ADMIN导致cgroup逃逸3、proc挂载4...
记一次服务器被种挖矿溯源
事情的起因是这样的,之前在做对安全狗测试的过程后,忘记将3306端口关闭,而且当时用的数据库密码是root/root,为了测试方便。没想到忘记关闭了,现在还是能够连接到。今天在做一个go的项目时用到服...
YaPi远程命令执行漏洞
漏洞描述YAPI接口管理平台是国内某旅行网站的开源项目,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。该漏洞存在于YAPI的mock脚本服务上,是由于mock...
安全通报】Spring Cloud Function SPEL 远程命令执行漏洞
漏洞描述: 近日,Spring Cloud Function官方测试版本通报了一个有关Spring Cloud Function SPEL表达式注入...
APP安全测试系列-业务及Web应用安全
本APP安全测试系列分为5个篇章,这五个篇章的内容可以作为APP测试的样例,在遇到APP测试工作时,可以直接依次按照教程的步骤进行测试,最后编写APP测试报告即可。测试前准备身份鉴别数据传输与存储容错...
整数溢出 RCE 漏洞分析(CVE-2021-44790)
在趋势科技漏洞研究服务漏洞报告中,趋势科技研究团队的 Guy Lederfein 和 Dusan Stevanovic 详细介绍了 Apache 网络服务器中最近新出现的一个代码执行漏洞。该漏洞最初是...
116