博文摘要基于2021年泄露的Babuk源代码,SentinelLabs发现了10个勒索软件团伙使用VMware ESXi加密器(locker)。这...
安卓渗透测试中常用的一些工具
本文我们简单来汇总下在Androd渗透中常用的一些逆向工具,以及她的基本使用方法吧。ApktoolApktool是最常用的一款安卓反编译工具。支持多平台,在Linux中我们可以用apt命令直接安装。a...
实战 | 记一次5000美金赏金漏洞挖掘经历
由于依赖性混乱导致的RCE关于我提交给 HackerOne 上的一个私人程序的错误赏金报告。你猜怎么了?我得到了 5,000 美元的奖励,他们只用了 30 分钟就搞定了!我不会深入探讨依赖性混淆的本质...
记一次渗透测试中rdoc远程代码执行
前言最近在渗透测试的时候,在后台发现一个打包功能点,可以对文件进行解析,并生成html文档。发现文档是rdoc生成的,搜索发现rdoc是ruby中的一个文档生成器,并且rdoc低于3.0.1版本存在命...
云安全案例4:黑客在谷歌云中淘宝
这篇文章介绍了嵌入在 Docker 镜像中的密钥,以包含在公共谷歌云 Docker 镜像 (Apigee) 作为示例,以及如何使用这些示例来利用正在运行的服务。 背景 密钥不应在构建时嵌入到 Dock...
源代码泄漏是新的威胁软件供应商应该关心的吗?
网络风险评估是什么以及为什么需要2023年如何进行网络风险评估5年后的IT职业可能会是什么样子?累不死的IT加班人:网络安全倦怠可以预防吗?数据安全:什么是数据访问控制?不到一个月前,推特通过发送版权...
记录一次坎坷的打靶经历·三
前言Bugku的PAR模式,渗透测试3,共8个flag,这次打靶挺轻松,感觉比较简单,一次过,嘿嘿。在此,分享出来笔者的过程,并呈现自己的思考,同时也希望能获得大佬的指点。过程0x01 flag1 (...
精简JS应用:一种去除JavaScript库中未使用函数的方法
原文标题:Slimming javascript applications: An approach for removing unused functions from javascript lib...
重磅!Twitter 源代码泄露
Cyberkendra 网站披露,推特最近遭遇了一次罕见的源代码泄露事件,一份法律文件显示推特部分源代码在网上曝光。源代码泄露发生不久,Twitter 公司迅速向在线协作平台 GitHub 发送侵犯版...
源代码与二进制漏洞的融合
本文为看雪论坛优秀文章 看雪论坛作者ID:TUGOhost 一 摘要 反编译器是用来从程序二进制恢复到高级语言表示(通常是C代码)的工具。在过去的五年中,反编译器有了很大的改进,不仅是在产生的伪代码的...
【SDL实践指南】代码审计之CheckMarx
基本介绍Checkmarx CxEnterprise(Checkmarx CxSuite)是以色列由的一家高科技软件公司Checkmarx发行的一款源代码安全扫描软件,该软件可用于识别、跟踪和修复源代...
联盟成员专家解读 | 从白盒角度看web漏洞
简介:白盒测试顾名思义是检查源代码中的安全缺陷,检查程序源代码中是否存在安全隐患。主要是通过自动化工具以及人工审查的方式对程序源代码逐条进行检查和分析,并对这些源代码缺陷所引...