云安全一开始并不容易。云安全之旅中最困难的步骤之一是创建保护云环境的路线图。这一步骤的重要性不容低估,因为如果做得不正确,可能会导致错误的投资、浪费时间和潜在的数据泄露。过去几年,云和数字技术的采用飞...
AWS 修补了可能被用于通过 FlowFixation 攻击劫持托管工作流 Apache Airflow (MWAA) 会话的漏洞
网络安全公司 Tenable 周四披露了一个一键式漏洞的详细信息,该漏洞可能被利用来完全控制 AWS 服务上的用户帐户,但 AWS 表示,利用该漏洞并非小事。 该漏洞被 Tenable...
打开潘多拉魔盒 - 开源项目中的供应链内部威胁
文章探讨了开源项目中的内部威胁,特别关注了如何防范恶意 Git 标签注入攻击。文章指出,开源项目虽然倡导透明度和协作,但仍然需要面对内部威胁的挑战。深蓝平台详细解释了AWS Karpenter项目的一...
网络与云安全架构
0x00 前言基于过去大部分时候都是直接在云上看安全问题,这次在上云做设计时对安全又有了一些新的感悟,因此记录下来,以供参考。其中不免有些经验和废话不得不说,只是因为遇到了糟糕设计,在解释过程中所体会...
编程效率倍增!让你从运动员变裁判员的强大VS插件~
博客新域名:https://gugesay.com背景介绍近期,骨哥体验了一款 Visual Studio Code(VS Code)的插件,感觉非常实用。尽管骨哥并非专业的程序员,但深刻感受到这款插...
HackTheBox-Three
初始点1级第五关Three获取目标IP。nmap扫描开放端口。nmap -sV {target_IP}端口80(http)、22(ssh)开放。浏览器访问目标IP。网页下滑发现联系...
AWS滥用:恶意'SNS Sender'脚本用于大规模Smishing攻击
A malicious Python script known as SNS Sender is being advertised as a way for threat actors to send...
澳大利亚供应链巨头 DP World 疑遭勒索攻击,主要港口受影响
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根...
最终章:容器安全自动化工具
基础到深度了解容器安全容器安全攻击工具的研究主要集中在探索和模拟攻击者如何利用容器技术的潜在弱点来发起攻击,从而帮助安全团队更好地理解风险并加强防御措施。这些工具在安全研究领域用于以下目的:漏洞利用:...
第九节:破晓容器安全-靶场实战(下)
基础到深度了解容器安全2024/2/2 19:00,东方隐侠与大家见面于B站,两个小时的交流中,少侠们踊跃发言,得以尽兴。直播回放已归档上传:https://www.bilibili.com/vide...
威胁组织利用Androxgh0st恶意软件收集云凭据
近日,美国联邦调查局(FBI)与网络安全和基础设施安全局(CISA)发布联合公告说道,有威胁组织在部署僵尸网络,利用Androxgh0st恶意软件大搞破坏。这个恶意软件能够收集云凭据(比如AWS或微软...
SSRF绕过实现窃取字节跳动LarkSuite元数据
前言LarkSuite是字节跳动旗下的一款集成办公套件,提供团队协作、通讯、日程管理等功能的企业级应用。SSRF 通常存在于以下功能点:1、消息功能:部分聊天功能会渲染任何链接的预览。2、文件转换:将...
24