2023-07-13 微信公众号精选安全技术文章总览洞见网安 2023-07-13 0x1 RocketMQ NameServer远程代码执行(CVE-2023-37582) 附检测POC极...
aws_pwn:一款功能强大的AWS渗透测试套件
关于aws_pwn aws_pwn是一款功能强大的AWS渗透测试套件,该套件由多种工具脚本组成,可以帮助广大研究人员执行与AWS渗透测试相关的各种任务。 工具下载 由于该工具基于Python开发,因此...
【AWS 安全系列】Amazon S3 配置错误(上)
打算出一个系列文章,分几篇讲解 AWS 的安全问题,本篇先介绍 Amazon S3 基本概念,并且搭建一个实验环境。近年来云平台上的数据泄漏经常发生,其中经常听到的就是 aws s3 数据泄漏,今天就...
【渗透利器】Sn1per - 多合一进攻性安全框架
“ Sn1per is an automated platform for professional penetration testers that integrates attack surfac...
(S3 存储桶泄露的风险)火币用户侥幸逃过一劫
全球最大的加密货币交易所之一火币悄然修复了一个数据泄露事件,该泄露事件可能导致该公司的云存储被访问。火币无意中共享了一组凭证,授予其所有 Amazon Web Services S3 存储桶写入权限。...
绕过Windows Defender的10种方法|Bypass
介绍在这篇文章中,我将解释 10 种方法/技术来绕过具有最新 Windows Defender intel 的完全更新的 Windows 系统,以执行不受限制的代码(除了权限/访问控制列表)。测试环境...
利用 SSRF 漏洞获取对 AWS 数据的未经授权的访问
01 前言 通过有效利用 SSRF 漏洞,能够绕过安全协议并利用 iFrame 加载PDF 文件中的请求地址,从而造成ssrf读取AWS元数组。 用来访问云元数据的有效负载: <iframe s...
IAM风险CTF挑战赛
wiz启动了一个名为“The Big IAM Challenge”云安全CTF挑战赛。旨在让白帽子识别和利用 IAM错误配置,并从现实场景中学习,从而更好的认识和了解IAM相关的风险。比赛包括6个场景...
最快仅需两分钟,攻击者能迅速将暴露的敏感信息武器化
据Cyber News 6月20日消息,云安全公司 Orca Security 的研究表明,在针对云的网络攻击中,攻击者能够在短短两分钟内发现配置错误和易受攻击的资产,并立刻开始对其进行利用。 Orc...
云渗透:不是典型的内部测试
对于投入云渗透测试世界的经验丰富的渗透测试人员来说,似乎有一条共同的道路。内部(又名假设违规)测试,其目标是证明受感染的用户可以访问云或云中受感染的应用程序的影响。 这条路通常从无知开始,接着是完全的...
私有网络(VPC)与基础网络(经典网络)有什么区别
1、VPC是什么? VPC(Virtual Private Cloud)是公有云上自定义的逻辑隔离网络空间,与用户在数据中心运行的传统网络相似,托管在VPC内的是用户在私有云上的服务资源,如云主机、负...
劫持 S3 存储桶:供应链攻击者在野外利用的新攻击技术
在不更改任何一行代码的情况下,攻击者通过劫持服务于其功能所需的二进制文件的 S3 存储桶并将其替换为恶意文件来毒害 NPM 程序包“bignum”。虽然这种特定的风险得到了缓解,但快速浏览一下开源生态...
24