震网事件的九年再复盘与思考 1.小序 2010年7月,“震网”(Stuxnet)蠕虫攻击事件浮出水面,引发了国际主流安全厂商和安全研究者的全面关...
从某达OA到Yii2框架的cookie反序列化漏洞研究
序言 近期网上流传的某达OA存在PHP反序列化漏洞,导致命令执行。因为该漏洞底层是Yii2框架的漏洞,所以搭建好了Yii2框架环境,在Yii2框架的环境下来进行模拟研究,希望能达到举一反三和类比分析学...
点评软件供应链安全框架 in-toto 的审计结果
在笔者之前一篇关于软件供应链安全的文章中,带出了 in-toto 这个软件供应链安全框架。这个项目在 2023 年 2 月进行了项目规范及源代码审计,审计结果已公布在项目网站上。无论是开发者或网络安全...
实战 | 若依框架的杀猪交易所系统管理后台
前言 这次是带着摸鱼的情况下简单的写一篇文章,由于我喜欢探究黑灰产业,所以偶尔机遇下找到了一个加密H币的交易所S猪盘,我记得印象是上年的时候就打过这一个同样的站,然后我是通过指纹查找其它的一些站,那个...
Kitex 支持 Dubbo 协议:助力多语言云原生生态融合
作者:王宇轩(github: DMwangnima),Kitex Committer 01 背景 Kitex 是字节跳动基础架构服务框架团队推出的 Go 微服务 RPC 框架,支持 Thrift、Ki...
NIST 发布里程碑式网络安全框架 2.0 版
该机构已完成该框架自 2014 年创建以来的首次重大更新。NIST 的网络安全框架 (CSF) 现在明确旨在帮助所有组织(而不仅仅是关键基础设施中的组织,即其最初的目标受众)管理和降低风险。NIST ...
ATT&CK,网络攻击行为的定义框架
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是一个由MITRE组织于20...
企业网络安全合规框架体系
企业需要建立一个整体的网络安全体系框架,将治理、管理、组织、制度、技术和运营等方面的安全工作有机地结合起来,形成协同作用,以实现全面的安全防护和风险管理。这样的网络安全体系框架不仅能够提升企业的网络安...
java代码审计之SQL注入漏洞
Part1 前言: 开更文章了,开一个关于Java代码审计相关的系列。 本来是想写成一本书的模式的,但是越写越发觉,篇幅太多,想了下还是每个专题单独写,而后最后汇总到一起。 慢慢写,基于笔者的理解抒写...
震网事件的九年再复盘与思考
1.小序 2010年7月,“震网”(Stuxnet)蠕虫攻击事件浮出水面,引发了国际主流安全厂商和安全研究者的全面关注,卡巴斯基、赛门铁克、安天等安全厂商,Ralph Langne等著名安全研究者,以...
网络安全人士必知的三个攻击模型
其实在我之前文章里面,也反复提到一些框架和模型,为什么要反复提网络安全框架和模型,在我的认知层面里,我觉得做任何事情,都需要遵循一定方法论和规则,当你不能成为第一个吃螃蟹的人,那就必须站在前人总结的基...
如何创建有效的漏洞优先级排序原则
点击上方“蓝色字体”,选择 “设为星标” 关键讯息,D1时间送达! 在访谈中,Morphisec的首席技术官兼恶意软件研究主管Michael Gorelik就漏洞对业务的影响提供了见解。公司应该了解哪...