点击上方蓝色字体关注,了解更多网络安全知识引言近年来,随着网络攻击和安全威胁的不断升级,网络安全成为了企业和组织不可忽视的关键议题。为了有效应对这一挑战,各类网络安全产品应运而生。在产品的研发过程中,...
VMware修复多个严重的ESXi 沙箱逃逸漏洞
本周二,虚拟化技术厂商 VMware 紧急修复企业级产品 ESXi、Workstation、Fusion 和 Cloud Foundation 产品中的多个严重漏洞。 VMware 公司发布了四个漏洞...
G.O.S.S.I.P 阅读推荐 2024-03-06 机器学习的暴胀理论
在宇宙学中有个“暴胀理论”(Inflation Theory),通俗地讲就是宇宙大爆炸后不到一秒钟,经历了一次快速膨胀的过程,使得宇宙的尺度在极短的时间内以指数级增长,从而解决了宇宙学上的一些难题。今...
Nodejs中的VM2沙箱逃逸利用方式探讨
在Node.js中,我们可以使用vm模块创建一个沙箱环境,用于执行不受信任的代码。然而,原始的vm模块存在一些隔离功能上的缺陷,并不能完全满足安全性的需求。为了解决这个问题,Node.js进行了升级,...
webshell检测引擎对抗思路
一、引擎的检测思路(个人理解) 静态: 通过样本库,正则匹配规则库等等进行匹配,检测是否命中规则。 动态: 污点标记:常见的传参方式都会被标记为污点入口,如POST,GET。 例如(PHP):<...
网络安全工程师必知的100+文件类型
一、可执行文件 1. .exe(Executable): Windows可执行文件格式,包含计算机程序的二进制代码,可在Windows系统上运行。 2. .msi(Microsoft Installe...
cnvd通用型漏洞挖掘思路-从逻辑漏洞到拒绝服务漏洞
点击「蓝色」字体关注我们! 用鹰图语法找了波网络设备的相关词汇 然后找到了个智能无线管理平台 通过祖传弱口令admin admin进入 之后就是测试相应功能点,最终没有找到有SQL注入的参数和RCE的...
某流量躲避webshell诞生记
0x00 背景朋友发的,乍一看内容,挺复杂,当时想着可以手动把注释删除一下,应该就能看到原始代码了,挺繁琐的就没动手。<?php /*K*/$CF/*B*/='c'./*exit();*/""....
泄露的数据库泄露了全球科技巨头的2FA代码
图片来源:Bryce Durbin / TechCrunch一家在全球范围内发送数百万条短信的科技公司获得了一个暴露的数据库,该数据库泄露了一次性安全码,这些安全码可能允许用户访问他们的Faceboo...
记一次绕过限制进行漏洞利用
背景背景为一次授权对某银行的攻防演练测试,进行记录初探目标Waf很多,站还少,只找到了一个感觉能搞的项目管理系统测试了一下,没有枚举、top500+常规弱口令跑了一下也没有弱口令 只能试试看能不能找测...
美国将加拿大网络情报公司 Sandvine 列入贸易制裁实体名单
美国政府将加拿大网络情报公司 Sandvine 列入“实体名单”,禁止组织机构与之进行贸易。 Sandvine 公司位于安大略省滑铁卢,提供网络策略控制产品,支持用于拥塞管理、安全和审查。本周一,美国...
安全大模型应用观察 | 为开发者和软件供应链环节注入智能安全
自大模型以迅雷不及掩耳之势席卷各行各业,其快速地超越了自然语言范畴,发展到了编程语言。一时之间,大模型颠覆软件工程、“杀死”开发者的论调不绝于耳。如今,大模型增强了语言处理能力,使得人机交互更直观,可...
95