关键词安全漏洞近日,Koi Security 安全研究员披露,在 Eclipse 基金会维护的 Open VSX Registry(open-vsx.org)中发现一个严重漏洞,攻击者一旦成功利用该漏...
Open VSX 漏洞重创扩展生态,数百万开发者面临供应链劫持
近日,Koi Security 安全研究团队披露了一个严重的供应链漏洞:开源项目 Open VSX Registry(open-vsx[.]org)存在关键安全缺陷,攻击者若成功利用该漏洞,将有可能完...
Docker配置了daemon镜像源但未生效,仍走默认源的解决办法
问题描述 已经按照网上的方法正确配置了/etc/docker/daemon.json,并且docker info中也可以看到自己配置的Registry Mirrors。 但是拉取镜像时,仍提示: Er...
详解JNDI注入攻击原理和利用方式
JNDI简介JNDI(Java Naming and Directory Interface)是一个应用程序设计的 API,一种标准的 Java 命名系统接口。JNDI 提供统一的客户端 API,通过...
Docker 拉取镜像n8n超时?其实是你没让它连网
点击上方蓝字关注我们 重要声明 随着网络安全越来越重要,“安全info”将定期分享实用安全技术、最新行业动态、案例分析,实战技巧等。鉴于网络安全法的基础文章内容仅供学习,不做其他任何用处! ...
malicious-devfile-registry :在Gitlab中利用CVE-2024-0402
免责声明:由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除...
【CTFer成长之路】SSRF漏洞
SSRF Training题目描述:web容器中存在一个flag,mysql中存在一个管理员账号密码,其余容器中均没有特定flagmysql容器中内置 tcpdumpvulnweb容器中内置一个 fp...
MaLoader 一键绕过主流杀软!MaLoader免杀神器实测详解
声明:本文内容仅限安全研究与授权测试使用,禁止用于任何非法活动。请严格遵守《中华人民共和国网络安全法》等相关法规。 在网络安全领域,攻防技术的更新迭代从未停止。今天,我们深入解析一款基于现代技术栈打造...
npm Registry发现伪装Telegram bot的恶意软件,SSH后门和数据泄露风险
1. npm registry发现三款伪装 Telegram bot 库的恶意软件,包含SSH后门和数据泄露风险 网络安全研究人员在npm registry中发现了三个伪装成流行Telegram bo...
!exploitable 第三集 - Devfile 冒险
【翻译】!exploitable Episode Three - Devfile Adventures引言我知道,我们已经多次提到,但如果你刚刚加入,Doyensec 团队正在地中海游轮上进行公司团建...
Fastjson漏洞利用及工具总结|挖洞技巧
0x01 前言Fastjson是阿里巴巴开源的高性能JSON处理库,在Java生态中被广泛使用。其多次曝出的反序列化漏洞(尤其是AutoType特性相关漏洞)曾引发重大安全风险,可以将Java对象转换...
COMpromise - 再次写入 Registry,第 4 部分
【翻译】The Key to COMpromise - Writing to the Registry (again), Part 4 — NeodymeCOMpromise - 利用 TOCTOU ...