这篇博文是 Paolo Arnolfo (@sw33tLie) 的合作成果,Paolo Arnolfo 是一位对服务器端漏洞充满热情的黑客爱好者;Guillermo Gregorio (@bsysop...
【翻译】新的 TE.0 HTTP 请求走私漏洞影响 Google Cloud 网站
HTTP 请求走私是网络安全中的一个漏洞,源于不同 Web 服务器或中介机构(例如负载均衡器和代理)处理 HTTP 请求序列的方式的变化。通过创建利用这些不一致性问题的恶意 HTTP 请求,攻击者可以...
云音乐中 In-App Purchase 实践总结篇
IAP主要说明内购项目开发者接入 IAP 时,需要按照苹果提供的规范,根据 App 提供商品的功能和类型来选择不同的内购项目类型,进行创建商品。相当于在我们业务服务端有一份商品列表,苹果 AppSto...
G.O.S.S.I.P 阅读推荐 2022-07-14 PaymentScope
在2022年的USENIX Security会议上,有一篇关于手游安全的研究论文,来自G.O.S.S.I.P的老朋友——OSU林志强教授研究组,第一作者左朝顺近年来持续发表了大量利用静态分析方法来寻找...
Cloud I Hack into Google Cloud
在本月初,Google宣布了去年2021的Google Cloud Platform的六个VRP漏洞( GCP VRP 奖旨在鼓励安全研究人员关注 GCP 的安全性,从而帮助我们为我们的用户、客户和整...
零信任????
远程办公的场景越来越多,传统的VPN方式已经不能满足业务和安全需求,这里先记录几个名词,后续有时间研究研究SPA & fwknop & SDP & Pomerium &...