云服务仪表板 攻击者可能使用具有被盗凭据的云服务仪表板GUI来从运营云环境中获取有用信息,例如特定服务,资源和功能。例如,GCP指挥中心可用于查看所有资产,发现潜在的安全风险以及运行其他查询,例如查找...
frp 版本更新
frp 自 v0.52.0 版本开始不再支持 ini 配置文件,开始使用 toml 作为默认配置文件。TOML(Tom's Obvious, Minimal Language)是一种轻量级的配置文件格...
容器、容器编排组件 API 配置不当或未鉴权-SRC真的能遇到
最近在搞CTF的出题,就看到了《红蓝对抗中的云原生漏洞挖掘及利用实录》中关于Serverless 实战能挖到的漏洞的总结,这里就复制粘贴出来,作为记录。也说一下自己2023年在阿里SRC 挖了很多云原...
利用Apache Flink 未授权远程代码执行获取服务器权限
本文涉及内容敏感,可能被恶意用户投诉举报,故本文设置试读模式,2元解锁,或移步知识星球查看,星球一次付费永久免费,内含大量渗透工具及付费知识。Apache Flink Dashboard默认没有用户权...
某互联网厂商 Apisix绕阿里WAF拿下Rce-漏洞挖掘
0x01 前言在前不久的一次地级市攻防演练中,给定的资产少之又少,很难找到突破点,但是经过一轮的信息收集发现某个地址使用了apisix网关,RCE漏洞不就来了吗?但是绕WAF的过程还是比较困难的。末尾...
【云安全】Dashboard 攻击面
皓月当空,明镜高悬文末有福利~0x00 前言众所周知,如果只是一味的REST接口或者命令行话的操作方式,就会变相的提高操作门槛,并且不会有很好的呈现方式,所以就有了web ui的方式,也就是Das...
记一次superset反序列化分析
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后...
Grafana漏洞利用清单
Grafana Grafana是一个跨平台的开源分析和交互式可视化Web应用程序。通过Web在连接支持的数据源时,提供图表、图形和警报等。 CVE-2020-11110 漏洞描述:Grafana在6....
K8s Dashboard未授权访问&后利用
文章前言K8s Dashboard是Kubernetes的一个Web UI,它提供了一个用户友好的界面来管理和监控Kubernetes集群。它可以让用户通过图形化界面查看Kubernetes集群的状态...
K8s Dashboard Config利用攻击面
文章前言本篇文章我们主要介绍以下两种利用场景下如何通过kubeconfig来接管Kubernet dashboard利用场景1:项目托管不当导致kubernetconfig文件泄露,例如:Github...
K8s Dashboard认证跳过
文章前言 K8s Dashboard是Kubernetes的一个Web UI,它提供了一个用户友好的界面来管理和监控Kubernetes集群。它可以让用户通过图形化界面查看Kubernete...
检测浏览器扩展的数据收集行为与其声明的隐私策略的不一致性
原文标题:Detection of Inconsistencies in Privacy Practices of Browser Extensions原文作者:Duc Bui, Brian Tang...