本文由uuwan原创翻译《Bug Bounty Bootcamp The Guide to Finding and Reporting Web Vulnerabilities》 by Vickie L...
使用云函数限制存储桶上传类型
声明 本文作者:TeamsSix 本文字数:约3742字 阅读时长:约10分钟 ❝ 相信不少师傅都挖到过存储桶任意文件上传的漏洞,不过由于存储桶的特性,这种任意文件上传的危...
某低代码平台代码审计分析
文章来源:奇安信攻防社区文章链接:https://forum.butian.net/share/2997作者:Qiu_某次项目中遇到的系统,发现还是开源的,于是就下下来小审一下,从权限绕过到getsh...
Prometheus 指标值不准:是 feature,还是 bug?
导语:笔者穷尽毕生绝学写就此文,通过剖析最典型的“怪现象”,解答 “Prometheus 指标值为何不准”这一灵魂拷问。引子有一天,你打算试用 Prometheus,监控你的业务系统。你来到腾讯云,仅...
云安全|存储(OSS)攻防
对象存储攻防案例云上存储己经是企业中常见的一款云上产品,伴随着云上业务的发展,对象存储作为云原生一项重要的能力,暴露出一系列的安全问题,其中的权限配置是管理人员不可忽视的,从攻击者的视角来看几大云存储...
对抗小技巧:利用阿里云OSS做域前置
01简要说明和以往的cdn/云函数做域前置相似,利用oss做前置的只是拓展玩法。利用到的功能特性:OSS是支持回源到自定义地址的,套在c2前面就可以完成域前置操作。02配置方法1.注册bucket并通...
保姆级教学:如何在阿里云创建个人网盘(使用ECS和OSS)
提醒:这里是基于阿里云实验平台提供的教程事前准备:1.注册阿里云账号2.开通&准备ECS和OSS(linux的环境)开始:一,下载&安装cloudreve安装包wget https:/...
流量控制算法
很多场景下都需要流量控制,从底层的数据包传输到购物秒杀。 常见的流量控制算法有两种,一个是漏桶算法,桶本身具有一个恒定的速率往下流水,而上方一直有水进入桶中。当桶还未满时,上方的水可以加入。一旦水满,...
NoSQL influxDB安全
什么是 InfluxDBInfluxDB 是一种流行的开源时间序列数据库,旨在处理大量带时间戳的数据。InfluxDB 广泛用于监控和分析来自传感器、应用程序和物联网设备等各种来源的指标、事件和实时数...
V8 hole 类型漏洞利用总结
一 JSMap 基本概念 参考文章 [V8 Deep Dives] Understanding Map Internals(https://itnext.io/v8-deep-dives-unders...
深入分析威胁行为者如何利用AWS服务实现数据提取
写在前面的话在安全防御端的研究中,或者作为安全防御端研究人员,我们常常都会站在攻击者的角度或攻击向量切入点来思考安全防御问题,这些攻击者一般来说都是来自信任区域之外的威胁行为者。但是,如果攻击者已经成...
【云安全攻防1】对象存储安全图文+实战案例详解
不同的厂商对对象存储的叫法有些不同,但从功能使用者角度来看,其实都是一回事。阿里云:OSS 腾讯云:COS 华为云:OBS谷歌云:GCS 微软云:Blob 亚马逊云:S3因为阿里云可免费试用3个月的O...
6