前言网络钓鱼是一种高级持续性威胁(APT)手段,犯罪分子通过仿冒合法实体,运用电子邮件、电话、短信等通讯手段,针对单一或多个目标实施诈骗。其核心目的是诱骗受害者披露敏感信息,如个人身份、财务数据及密...
零信任技术架构之增强IAM
IAM全称在Identity and access management (IAM) ,身份和访问管理平台,他的核心能力身份管理(identity)、认证管理(authentication)、授权管理...
某车企渗透测试-从app到产线检测
前言记录某次车企的渗透过程,从控车app到云端,针对云端进行挖掘,多个漏洞组合获得RBAC统一认证平台最高权限,取得APP后台管理、某管理平台、产线检测等系统的权限。渗透过程最初打算从控车APP入手,...
技术分享|基于图实现 Kubernetes 异常权限检测
随着云计算、微服务架构、服务网格等分布式应用架构技术的普及,以 Docker、Kubernetes 为代表的容器化技术,逐步被业务所认可使用。当前 Kubernetes 已逐渐成为生产环境中所必备的基...
一个易懂、完整、实战的K8S攻防靶场演练
靶场资源情况kubectl get all -A | grep -v kube-system | grep -v local-path-storage攻击获取元数据curl -IL http://lo...
【安全知识】访问控制模型DAC、MAC、RBAC、ABAC有什么区别?
不同的公司或软件提供商,设计了无数种控制用户访问功能或资源的方法。但无论哪种设计,都可归到四种经典权限模型里——自主访问控制(DAC, Discretionary Access Control)、强制...
谈谈代码审计中的常见问题(1)
随着新时代网络空间安全要求的提高,企业对于安全意识有了大幅提升,然而黑产人员的恶意攻击手段也日新月异,层出不穷。传统开发中的单纯依靠开发人员经验进行的安全防护已经无法应对当前迅速发展的恶意攻击手段。于...
全网最全的权限系统设计方案
文末整理了6个G的数字化资料包,欢迎领取下载作者:苏博亚 来源:CSDN全文共5312字,建议阅读14分钟01为什么需要权限管理日常工作中权限的问题时时刻刻伴随着我们,程序员新入职一家公司需要找人开通...
攻击者滥用 Kubernetes RBAC 部署持久化后门
云安全公司 Aqua Security 警告说,已经观察到威胁行为者滥用 Kubernetes 基于角色的访问控制 (RBAC) 创建后门并劫持集群资源以进行加密货币挖掘。 称为RBAC Buster...
ZK框架权限绕过导致R1Soft Server Backup Manager RCE并接管Agent
环境 http://wiki.r1soft.com/display/ServerBackup/Install+Server+Backup+Manager+on+Debian+and+Ubuntu.ht...
Kubernetes应用的十大安全风险与防护建议
Kubernetes通常被称为“K8s”,是一种非常流行的开源容器编排系统,可以自动部署、扩展和管理容器化工作负载。作为一款功能强大的工具,Kubernetes可以提供容器自修复、自动扩展和服务发现功...
k8s-kunbernetes配置不当漏洞利用
api-server未授权漏洞介绍通过apiserver可以管控整个集群。默认情况,Kubernetes API Server提供HTTP的两个端口:1.本地主机端口 (高版本已弃用) • HTTP服...