分享一个如何寻找sqli的思路声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。正文何为基于...
AWS ECR 公开漏洞
执行摘要我发现了一个严重的 AWS Elastic Container Registry Public (ECR Public) 漏洞,该漏洞允许外部参与者通过滥用未记录的内部 ECR Public ...
智能合约安全审计入门篇 —— 移花接木
By:小白背景概述上期我们了解了利用 tx.origin 进行钓鱼的攻击手法,本期我们来带大家了解一下如何识别在合约中隐藏的恶意代码。前置知识大家还记得之前几期部署攻击合约时我们会传入目标合约的地址,...
【天问】2022年PyPI恶意包年度回顾
2022年,天问Python供应链威胁监测模块共捕捉到22,076个恶意包,对于分析确认的恶意包,我们第一时间反馈PyPI官方,通知维护者将这些包删除。根据恶意包的攻击行为,我们将其归为四类:信息窃取...
Eternity组织:持续活跃的商业武器库
关键词Eternity1 概述2022年5月,安天CERT发布了报告《活跃的Jester Stealer窃密木马及其背后的黑客团伙》[1],报告中不但分析了一个同时释放窃密木马和剪贴板劫持器的恶意样本...
APT-C-36(盲眼鹰)近期攻击活动分析
APT-C-36 盲眼鹰APT-C-36(盲眼鹰)是一个疑似来自南美洲的APT组织,主要目标位于哥伦比亚境内,以及南美的一些地区,如厄瓜多尔和巴拿马。该组织自2018年被发现以来...
安全从业者,这几个术语必须知道,建议收藏
我们都知道网络安全中存在着大量的术语,其中不乏各种中英文混用,那么他们的具体含义是什么呢,在工作遇到这些术语时我们又应该如何解释呢以下术语按照字母顺序排列,排名不分前后A01 高级持久威胁(APT)一...
黑客正利用 XLL 文件注入恶意代码方式攻击 Excel 用户
关键词Excel12 月 23 日消息,微软于今年 7 月开始为了防止针对 Microsoft 365 的网络攻击,阻止 Word、Excel 和 PowerPoint 使用某些宏(Macro)。微软...
宝塔Nginx挂马在线检测
网上最近流传宝塔Nginx出现被挂木马的事件频传,今天收集到了一个不错的站点木马检测工具。提供相关免费的查询技术支持,同步云端木马数据。用百度域名检测结果用其他存在挂马的检测结果检测思路:特征标题:n...
宝塔挂马在线检测
前言网上最近流传宝塔Nginx出现被挂木马的事件频传,分享一个在线检测,希望能给大家作为参考。检测站点:https://security.acb.bet/blog/domain一、检测展示打开检测链接...
ChatGPT被用来开发勒索软件和钓鱼邮件
关注我们带你读懂网络安全从撰写钓鱼邮件到编写勒索软件代码,ChatGPT能帮助任何用户(即便没有代码编写和社会工程技能)开展有效的、大规模的网络犯罪活动。自OpenAI于11月底推出ChatGPT以来...
开源软件供应链安全系列:OSS风险点与预防
一. 开源软件供应链安全的兴起Verocode研究结果表明[1],在开源组件仓库中70.5%的代码库存在安全漏洞,而这些安全漏洞风险46.6%是由其他开源项目直接、间接引进所导致...
41