我如何完全控制一个敏感组织的服务器晚上好。今天我要分享我发现的一个漏洞。该漏洞是由 NGINX 的一个配置错误引起的,最终导致了远程代码执行 (RCE),让我完全控制了服务器。为了保护组织的身份,我对...
100 个 Web 应用漏洞类型挖掘
SQL 注入 (SQLi)跨站脚本攻击 (XSS)跨站请求伪造 (CSRF)服务器端请求伪造 (SSRF)XML 外部实体 (XXE)不安全的直接对象引用 (IDOR)远程代码执行 (RCE)命令注入...
云配置错误的四大原因
点击蓝字 关注我们由于云配置错误导致的数据泄露越来越多地成为新闻头条。随着云创新步伐的加快,开发安全事件反复上演。根据云基础架构厂商VMware和云安全联盟的联合调查发现,2020年17% 的企业组织...
新威胁警报:隐蔽的加密货币矿工通过错误配置攻击 DevOps 服务器
网络安全专家发现了新一波针对可公开访问的DevOps服务器的隐蔽加密货币挖矿攻击。此次攻击主要针对Docker 、Gitea 以及 HashiCorp 的 Consul 和 Nomad等服务——这些平...
黑客利用GitHub现成工具通过DevOps API发起加密货币挖矿攻击
更多全球网络安全资讯尽在邑安全网络安全研究人员发现,黑客正在利用公开暴露的DevOps网络服务器(如Docker、Gitea、HashiCorp Consul和Nomad相关服务)非法挖掘加密货币。云...
新逻辑-通过 Sendgrid 电子邮件配置错误打开重定向
免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
云存储大规模数据泄露事件,全球2000亿文件暴露在公网
网络安全公司Cyble的研究人员发出警告,多个主流云服务商因存储桶配置错误导致约2000亿份文件可被公开访问。研究人员在漏洞分析过程中,共识别出分布在七大云平台上的66万个未受保护的存储桶。Part0...
30个云安全漏洞的发现与利用技巧,非常有用!
云计算已成为企业数字化转型的核心基础设施,但其复杂性和开放性也带来了前所未有的安全挑战。作为渗透测试从业者,我们需深入理解云环境的脆弱点,并掌握针对性的发现与利用技术。以下从配置错误、身份管理、数据安...
云存储桶中暴露了 2000 亿个文件
这一看就是 cyber 公司的软文,就是为了推广自己家的产品写的博眼球文章。他们的产品试了一下确实有点东西,但是收费。🐶Cyble 的 ODIN 漏洞搜索工具检测到在七大云服务提供商的云存储桶中暴露了...
微软警告攻击者利用配置错误的 Apache Pinot 安装实例
导 读微软对 Kubernetes 安装安全性进行的研究表明,威胁组织已经将目标锁定在配置错误的 Apache Pinot 实例上。Apache Pinot 是一个开源实时分析平台,旨在高速、低延迟地...
GCPGoat:极其脆弱的 GCP 基础设施
入侵组织的云基础设施就像是攻击者的金矿。有时,一个简单的配置错误或 Web 应用程序中的漏洞,就足以让攻击者入侵整个基础设施。由于云相对较新,许多开发人员并未充分意识到威胁形势,最终部署了一个易受攻击...
AWS S3 存储桶配置错误导致全美 29 州逾 8.6 万名医护人员信息泄露
近日,一起涉及医护人员敏感信息的大规模数据泄露事件被发现,总部位于新泽西州的健康科技公司ESHYFT的超过8.6万条记录被暴露。 网络安全研究员 Jeremiah Fowler 发现了一...