前言最近 GitHub 社区的一场供应链攻击闹得沸沸扬扬(禁止中国区 IP 的事,后面有机会再聊),这事儿搞得大家都紧张兮兮地检查自己的项目依赖。作为一个一直对热点安全事件保持关注的工程师,我当然也第...
RASP | Spring Cloud Function 表达式注入漏洞
漏洞简介SpringCloudFunction是一个SpringBoot开发的Servless中间件(FAAS),支持基于SpEL的函数式动态路由。在特定配置下,存在SpEL表达式执行导致的RCE。影...
GitHack任意文件写入漏洞预警与修复方案
前言 最近几天,关注的lijiejie大佬的GitHack项目提交了commit[1],Change Log写着Fix abitrary file write vulnerability。GitHac...
Git与Github远程仓库使用
师傅们元宵节快乐!自行安装git工具,进介绍命令以及操作。连接远程仓库Github国内gitee相通,理解了原理即可。配置git信息git config --global user.name "你的g...
Redis Lua 远程代码执行漏洞
一、漏洞描述Redis 是开源的键值对存储数据库。具有 Lua 脚本功能的 Redis 版本(2.6及以上版本)中,经过身份验证的攻击者可构造恶意的Lua脚本控制垃圾回收器,导致远程代码执行。修复版本...
JAVA代审-DocSys审计
点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号菜狗安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵...
Git 实用技巧记录
只有在遇到问题的时候,才体会到技巧带来的好处!如果我们希望能够快速了解或体验一下 Git 的操作的话,我这里推荐搭建前往这个网站进行学习,其不需要我们安装工具,而且我们的每一步操作都可以在右侧实时看到...
为了 $$$ 而黑客攻击电子商务:IDOR 等
您好朋友,我对 bug 赏金计划感到沮丧几天后,我决定尝试 Bugcrowd 上的另一个公共程序。这有点困难,但我学到了很多 ()。mrhashimaminwe’ll get into that in...
【开源工具】- SASTSweep 大规模识别开源代码库中漏洞
【🔔】互联网资料/工具,安全性未知,需要自行研判安全性。sastsweep是一款旨在大规模识别开源代码库中的漏洞的工具。它可以收集和过滤关键存储库指标,例如受欢迎程度和项目规模,从而实现有针对性的漏洞...
Alpine Linux远程代码执行漏洞分析
研究人员在Alpine Linux的默认包管理器中apk中发现了一些漏洞。Alpine与Docker非常类似,是一种轻量级的Linux发行版。这些漏洞允许网络中间人(恶意包镜像)在用户机器上执行任意代...
13.Fastjson(.NET)反序列化点后篇
1.关于AssemblyInstaller在前篇我们基本介绍了.NET Fastjson反序列化问题的一些基本情况,在最后提到了黑名单里的几个关键类,我们使用的只是ObjectDataProvider...
【开源工具】-Gixpose快速检索Git commit中的敏感信息
【🔔】互联网资料/工具,安全性未知,需要自行研判安全性。 Gixpose 是一个功能强大的命令行工具,旨在搜索 Git 存储库的提交历史记录以获取敏感信息,例如 API 密钥和访问令牌。其目的是帮助...