声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景白帽小哥fushbey于2020年6月...
Apache RocketMQ Broker 未授权访问漏洞利用方法
先来介绍一下什么是RocketMQ BrokerRocketMQ Broker 是负责消息存储、处理和传输的核心组件。它的主要功能包括:消息存储:Broker 负责将生产者(Producer)发送的消...
Pulsar客户端消费模式揭秘:Go 语言实现 ZeroQueueConsumer
前段时间在 pulsar-client-go 社区里看到这么一个 issue:import "github.com/apache/pulsar-client-go/pulsar"client, err...
《消费者报告》调查发现,大批热卖的可视门铃存在严重安全漏洞
2月29日,《消费者报告》发布了针对可视门铃(电子猫眼)品牌Eken和Tuck的安全调查结果,发现其存在严重的安全漏洞。据了解,《消费者报告》(Consumer Reports,CR)是美国一份颇具公...
Java安全攻防之ActiveMQ从Broker到Consumer
前言上周ActiveMQ的漏洞利用已经有了多篇文章分析了,比较麻烦的在于公开的文章都是通过修改activemq代码实现的漏洞利用。所以我们也分析了这个漏洞,希望能够写出更加简单的exploit。漏洞分...
【操作系统】彻底解决最新版Win11无法打开设置按钮的BUG
彻底解决最新版Win11无法打开设置按钮的BUG更新稳定版操作系统Win11。注意:下载好ISO双击挂载安装选择保留数据,安装后不影响目前状态。本页收集了一些官方版的 Windows 11 系统,您可...
利用JavaAgent插桩技术扩大攻击面以及反制攻击者
解题在赛后才解出的,通过这道题也学习了JavaAgent技术。绕过Filtercom.example.customer.filter.CustomerFilter#doFilter中有如下过滤器逻辑S...
安全验证 | Dubbo CVE-2023-29234 反序列化漏洞分析
漏洞描述 2023年12月15日,Apache 官方发布安全通告,披露了其 Dubbo 存在反序列化漏洞,漏洞编号CVE-2023-29234。 Dubbo 是阿里巴巴公司开源的一个高性能优秀的服务框...
白泽带你读论文|APICraft
如需转载请注明出处,侵权必究。 论文题目:APICraft: Fuzz Driver Generation for Closed-source SDK Libraries 发表会议:Security ...
C++监视磁盘活动进程信息(ETW同理适用其他性能监控)
一、目的为了实现监控磁盘活动的进程信息(微软自带资源监视器软件)二、了解ETWETW是Event Tracing for Windows的简称,它是Windows提供的原生的事件跟踪日志系统。由于采用...
WMI持久性后门(powershell)(水文)
“WMI是微软为基于Web的企业管理(WBEM)规范提供的一个实现版本,而WBEM则是一项行业计划,旨在开发用于访问企业环境中管理信息的标准技术。WMI使用公共信息模型(CIM)行业标准来表示系统、应...
CVE-2022-29266 Apache Apisix jwt-auth插件密钥泄漏
漏洞描述在2.13.1版本之前的APache APISIX中,攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web 令牌来通过错误消息响应获取插件配置的机密。依赖库 lu...