我和Omar发现了一个次要上下文漏洞,使我们能够接管整个公司。以下是我们在目标系统中发现的内容及我们的测试方法。这项研究包含所有的漏洞分析,总共耗时约三周。 首先,我们将解释如何发现这一...
02月20日4 views评论微服务
从400状态码到接管整个组织控制台
02月20日4 views评论微服务
02月20日4 views评论微服务
云原生服务风险测绘分析(三): Kong和Apache APISIX
一、概述微服务架构中,API网关充当着非常重要的一环,它不仅要负责外部所有的流量接入,同时还要在网关入口处根据不同类型请求提供流量控制、日志收集、性能分析、速率限制、熔断、重试等细粒度的控制行为。AP...
02月20日12 views评论云原生
微服务
常见框架漏洞复现——Spring
文章首发于:火线Zone社区(https://zone.huoxian.cn/)Spring简介Spring框架是一个开放源代码的J2EE应用程序框架,是针对bean的生命周期进行管理的轻量级容器。S...
02月15日11 views评论vulhub
漏洞复现
【云安全】云原生-K8S-简介
K8S简介Kubernetes(简称K8S)是一种开源的容器编排平台,用于管理容器化应用的部署、扩展和运维。它由Google于2014年开源并交给CNCF(Cloud Native Computing...
01月28日7 views评论kubernetes
云安全
云原生安全:如何保护容器与微服务架构?
一、云原生时代的安全隐忧如今,云原生技术正如火如荼地改变着企业构建和运行应用程序的方式。凭借容器化、微服务、自动化等强大特性,它让应用开发更敏捷、部署更高效、扩展更灵活,已然成为企业数字化转型的得力助...
01月20日13 views评论云原生
安全策略
如何有效监控云环境中的网络流量?
如今,云计算就像一股超强旋风,席卷了各行各业。企业纷纷上云,享受着云带来的灵活扩展、成本优化等诸多便利。在这云环境里,网络流量犹如穿梭的车流,承载着海量的数据交互。这时候,流量监控就显得尤为关键了!先...
01月15日25 views评论云环境
网络流量
HubSpot 账户接管全流程
今天我们将分享一个关于在 HubSpot 公共漏洞赏金计划中实现账户接管的故事。正文 我们测试的子域为 https://growanz.hubspot.com。其认证功能中有一个 “忘记...
01月11日6 views评论referer
微服务
使用 Azure 上的 Dapr 保护微服务:实现端到端安全性
在微服务领域,各个服务跨网络进行通信,安全性至关重要。随着分布式系统和微服务架构的兴起,保护服务之间的通信不仅是一项建议,而且是一项必要措施。Dapr (分布式应用程序运行时) 简化了微服务开发,但它...
01月05日8 views评论azure
身份验证
DSP:基于微服务框架的网络安全与渗透测试学习工具
关于DockerSecurityPlaygroundDSP,全称DockerSecurityPlayground,是一款基于微服务框架的网络安全与渗透测试技术学习工具,在该工具的帮助下,广大研究人员可...
12月27日11 views评论渗透测试
网络安全
API网关的工作原理
API网关同时做很多事情。为了理解 API 网关的工作原理,我们来打个比方。API网关就像maître d’(法语,意思是领班服务员),maître d’通常出现在高档餐厅,尽管这是一个正在慢慢消失的...
12月09日5 views评论微服务
身份验证
云原生流量采集:架构、工具与实践
一、云原生流量采集概述1.1 云原生技术背景云原生技术背景为流量采集带来了革命性的变革。随着容器化、微服务架构以及持续集成和持续部署(CI/CD)的普及,云原生应用的动态性和分布式特性要求流量采集系统...
12月06日39 views评论云原生
分布式
【技术分享】微服务网格化升级后的安全架构问题
作者:胡宏伟 腾讯金融云解决方案中心2016 年 9 月 14 日,Envoy 的开源标志着应用技术架构进入到服务网格(Service Mesh)时代,2017 年 5 月 24 日,Google、I...
12月01日17 views评论安全策略
身份验证