扫码领资料获网安教程来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn)在漏洞赏金领域,很多研究人员都会寻找泄露的密钥,通常是扫描 GitHub 仓库中暴...
我如何从已删除的文件中赚取 64 美元 — 一个漏洞赏金故事
TL;DR — 我构建了一个自动化功能,克隆和扫描了数以万计的公共 GitHub 存储库以查找泄露的机密信息。对于每个存储库,我恢复了已删除的文件,找到了悬空的 blob 和解压缩的 .pack 文件...
刚来公司,大佬让我Git下 我该怎么办?
我们在开发过程中,都会用到版本控制工具。常用的工具有SVNGIt等。但现在越来越多的人喜欢用Git。本文为你介绍新手如何快速上手Git。创建自己的远程仓库远程仓库,顾名思义。就是将自己的代码放到远程服...
针对 Coinbase 的供应链攻击
前言最近 GitHub 社区的一场供应链攻击闹得沸沸扬扬(禁止中国区 IP 的事,后面有机会再聊),这事儿搞得大家都紧张兮兮地检查自己的项目依赖。作为一个一直对热点安全事件保持关注的工程师,我当然也第...
RASP | Spring Cloud Function 表达式注入漏洞
漏洞简介SpringCloudFunction是一个SpringBoot开发的Servless中间件(FAAS),支持基于SpEL的函数式动态路由。在特定配置下,存在SpEL表达式执行导致的RCE。影...
GitHack任意文件写入漏洞预警与修复方案
前言 最近几天,关注的lijiejie大佬的GitHack项目提交了commit[1],Change Log写着Fix abitrary file write vulnerability。GitHac...
Git与Github远程仓库使用
师傅们元宵节快乐!自行安装git工具,进介绍命令以及操作。连接远程仓库Github国内gitee相通,理解了原理即可。配置git信息git config --global user.name "你的g...
Redis Lua 远程代码执行漏洞
一、漏洞描述Redis 是开源的键值对存储数据库。具有 Lua 脚本功能的 Redis 版本(2.6及以上版本)中,经过身份验证的攻击者可构造恶意的Lua脚本控制垃圾回收器,导致远程代码执行。修复版本...
JAVA代审-DocSys审计
点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号菜狗安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵...
Git 实用技巧记录
只有在遇到问题的时候,才体会到技巧带来的好处!如果我们希望能够快速了解或体验一下 Git 的操作的话,我这里推荐搭建前往这个网站进行学习,其不需要我们安装工具,而且我们的每一步操作都可以在右侧实时看到...
为了 $$$ 而黑客攻击电子商务:IDOR 等
您好朋友,我对 bug 赏金计划感到沮丧几天后,我决定尝试 Bugcrowd 上的另一个公共程序。这有点困难,但我学到了很多 ()。mrhashimaminwe’ll get into that in...
【开源工具】- SASTSweep 大规模识别开源代码库中漏洞
【🔔】互联网资料/工具,安全性未知,需要自行研判安全性。sastsweep是一款旨在大规模识别开源代码库中的漏洞的工具。它可以收集和过滤关键存储库指标,例如受欢迎程度和项目规模,从而实现有针对性的漏洞...