0x00 场景介绍Huge Logistics 公司邀请你们团队进行一次安全评估。你们的主要目标是审查他们的公共代码仓库,查找是否存在被忽略的凭据或敏感信息。如果发现相关信息,可以利用它们获取对其云基...
供应链老 6 投毒必学技能:Commit Stomping
我就不逐句翻译校对了,反正有些人也看不上。末尾有原文链接。可以直接看原文。我主要是提供最新的情报,告诉你有这件事值得关注。Commit Stomping 是一种受 timestomping 启发的技巧...
超越漏洞修复的安全观
前言前两天休假看到了spaceraccoon的一篇关于网络安全反模式的文章,讲的是无效忙碌陷阱这个概念,说实话挺有意思的。作为一个经常和漏洞打交道的安全工程师,很多内容说到了我的心坎里,花点时间整理一...
漏洞赏金故事 | 通过已删除的文件赚到 6.4 万$
扫码领资料获网安教程来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn)在漏洞赏金领域,很多研究人员都会寻找泄露的密钥,通常是扫描 GitHub 仓库中暴...
我如何从已删除的文件中赚取 64 美元 — 一个漏洞赏金故事
TL;DR — 我构建了一个自动化功能,克隆和扫描了数以万计的公共 GitHub 存储库以查找泄露的机密信息。对于每个存储库,我恢复了已删除的文件,找到了悬空的 blob 和解压缩的 .pack 文件...
刚来公司,大佬让我Git下 我该怎么办?
我们在开发过程中,都会用到版本控制工具。常用的工具有SVNGIt等。但现在越来越多的人喜欢用Git。本文为你介绍新手如何快速上手Git。创建自己的远程仓库远程仓库,顾名思义。就是将自己的代码放到远程服...
针对 Coinbase 的供应链攻击
前言最近 GitHub 社区的一场供应链攻击闹得沸沸扬扬(禁止中国区 IP 的事,后面有机会再聊),这事儿搞得大家都紧张兮兮地检查自己的项目依赖。作为一个一直对热点安全事件保持关注的工程师,我当然也第...
RASP | Spring Cloud Function 表达式注入漏洞
漏洞简介SpringCloudFunction是一个SpringBoot开发的Servless中间件(FAAS),支持基于SpEL的函数式动态路由。在特定配置下,存在SpEL表达式执行导致的RCE。影...
GitHack任意文件写入漏洞预警与修复方案
前言 最近几天,关注的lijiejie大佬的GitHack项目提交了commit[1],Change Log写着Fix abitrary file write vulnerability。GitHac...
Git与Github远程仓库使用
师傅们元宵节快乐!自行安装git工具,进介绍命令以及操作。连接远程仓库Github国内gitee相通,理解了原理即可。配置git信息git config --global user.name "你的g...
Redis Lua 远程代码执行漏洞
一、漏洞描述Redis 是开源的键值对存储数据库。具有 Lua 脚本功能的 Redis 版本(2.6及以上版本)中,经过身份验证的攻击者可构造恶意的Lua脚本控制垃圾回收器,导致远程代码执行。修复版本...
JAVA代审-DocSys审计
点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号菜狗安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵...