Redis 作为高性能的 key-value 内存型数据库,普遍使用在对性能要求较高的系统中,同时也是滴滴内部的内存使用大户。本文从 KV 团队对线上 Redis 内存泄漏定位的时间线维度,简要介绍 ...
记一次巧妙的SQL注入漏洞审计
一、前景提要 起因是因为审计完rbac项目之后,把审计报告发到博客。过了一段时间有位师傅跟我说这个项目还有一个SQL注入我没有审计到,我寻思这个项目用的Mybatis框架,我记得SQL语句用$拼接参数...
廉价合法临时小时服务器 - 用于shell反弹测试
这里有一个小概念,抢占式实例,主要指阿里,腾讯云中一种按需实例,性能与常规ECS实例无异,价格根据市场供需关系实时变化,相对于按量付费实例最高能节约90%的实例成本。介绍你是否面临下面这些问题?&nb...
【权限维持技术】Windows:WMI 无文件后门(一)
WMI 简介 WMI,全名Windows Management Instrumentation,即Windows管理工具,是Microsoft的一种基于网络的管理服务。其可以帮助用户管理本地和远程计算...
Altassian Confluence“满分漏洞”危及全球数据中心和服务器
近日,由于漏洞被黑客积极利用,Atlassian Confluence数据中心和服务器版本软件曝出的高危漏洞(CVE-2023-22518)的CVSS评分从最初的9.1分提高到10分,这一“满分漏洞”...
Atlassian 提醒注意严重的 Confluence 漏洞,可导致数据丢失
澳大利亚软件公司 Atlassian 提醒管理员,应立即修复暴露在互联网的 Confluence 实例,其中包含的严重漏洞CVE-2023-22518如遭成功利用可导致数据丢失。 该漏洞是一个授权不当...
【漏洞预警】Atlassian Confluence Data Center and Server 权限提升漏洞
CVE-2023-22515漏洞描述: Confluence Data Center and Server 存在权限提升漏洞,未经身份验证的远程攻击者可能利用该漏洞...
安全运营内刊—威胁分析与响应能力—针对Redis服务器的P2PInfect蠕虫病毒分析
01简介近期,研究人员发现了一种针对Redis数据存储部署的新型蠕虫病毒,命名为“P2Pinfect”。该蠕虫使用Rust编写,Rust是一种高度可扩展且对云友好的编程语言,能够针对Redis跨平台攻...
P2PInfect:自我复制蠕虫
2023年7月11日,Unit 42研究人员发现了一种新的对等(P2P)蠕虫,研究人员将其称之为P2PInfect。对等网络,即对等计算机网络,是一种在对等者(Peer)之间分配任务和工作负载的分布式...
P2PInfect 蠕虫利用 Lua 沙箱逃逸满分漏洞攻击 Redis 服务器
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员发现了一个新的端对端 (P2P) 蠕虫 P2PInfect,专门攻击 Redis 实例。Palo Alto Networks...
引爆AWS EC2实例:轻松获取反向 shell访问权限!
记录下aws ec2 如何执行反弹shell本文仅供参考和教育目的,适合那些愿意并好奇了解和了解安全和渗透测试的人。内容不得用于非法目的。如果您准备好学习新的东西,然后继续阅读。Amazon“aws ...
Flask基础及模板注入漏洞(SSTI)
最近刷题的时候碰见的SSTI越来越多,就从Flask基础开始,学习一下Flask模块里面涉及的漏洞以及SSTI相关的知识进行一下总结,学习过程发现好多文章介绍SSTI的时候没有详细介绍过Flask基础...