insecure | CN-SEC 中文网

安全新闻

项目发布 | OWASP 十大移动风险 2024

OWASP Mobile Top 10十大移动风险2024发布列表M1:凭据使用不当Improper Credential UsageM2:供应链安全不足Inadequate Supply Chai...

03月03日26 views评论

阅读全文

安全文章

【云安全】云原生- K8S API Server 未授权访问

API Server 是 Kubernetes 集群的核心管理接口，所有资源请求和操作都通过 kube-apiserver 提供的 API 进行处理。默认情况下，API Server 会监听两个端口：...

02月17日21 views评论

阅读全文

安全文章

与k8s-etcd的一次相遇

与k8s-etcd的一次相遇前瞻啥是etcd?Kubernetes集群内的各种资源及其状态存储在etcd中分布式键值存储：etcd 提供了一个一致且可靠的键值对数据库，允许集群中的多个节点共享和同步数...

01月09日12 views评论

阅读全文

安全新闻

网安原创文章推荐【2024/12/20】

2024-12-20 微信公众号精选安全技术文章总览洞见网安 2024-12-200x1 【bWAPP】身份认证攻防实战儒道易行 2024-12-20 20:00:00我这一生如履薄冰，你说我能走到对...

12月22日11 views评论

阅读全文

安全文章

【bWAPP】越权攻防实战

我这一生如履薄冰，你说我能走到对岸吗？0x01、Insecure DOR (Change Secret)同 XSS - Stored (Change Secret)Low仔细观察页面, 发现隐藏一个i...

12月22日1 views评论

阅读全文

安全新闻

API Server 安全风险（一）：不安全的服务（理论篇）

unsetunset0x00 前言unsetunset在实际的工作和攻防对抗的时候，您是否遇到过以下问题：由于 API Server 错误配置，导致攻击者可以接管集群。根据教程对 API Server...

12月05日9 views评论

阅读全文

安全文章

【DVWA】验证码攻防对抗实战

此心光明，亦复何言0.Insecure CAPTCHA"Insecure CAPTCHA" 指的是一种设计或实现不安全的 CAPTCHA（完全自动化的公共图灵测试区分计算机和人类）机制。CAPTCHA...

12月03日5 views评论

阅读全文

安全文章

etcd未授权到控制k8s集群

点击上方[蓝字]，关注我们免责声明本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号团队不为此承担任何责任。文章正文在安装完 K...

10月22日24 views评论

阅读全文

安全文章

实战攻防-K8S接管逃逸容器到宿主机

前言k8s未授权，网上关于未授权的利用方式大多到接管容器就结束了，而对于获取宿主机权限的较少，在不断尝试之后成功获取宿主机root权限不是星标不推送文章了。师傅也不想吧~快把极梦C设置成星标吧。未授权...

06月30日28 views评论

阅读全文

安全文章

如何为红队大佬端茶倒水上线cs

安服仔，最近做了好几个项目都是红队服务，我一ctf签到选手，src低危挖掘者，日常项目低危三连玩家哪懂这啊。好在大佬们实在太猛，给大佬们端茶倒水好好学习了一波。1.前期打点前期打点个人感觉就是批量批量...

04月05日52 views评论

阅读全文

安全文章

k8s安全攻防 etcd篇

etcd是一个高可用的key-value数据库，它为k8s集群提供底层数据存储。多数情形下，数据库中的内容没有经过加密处理，一旦etcd被黑客拿下，就意味着整个k8s集群失陷。本篇简单介绍etcd在渗...

01月29日51 views评论

阅读全文

安全新闻

K8s攻击案例：组件未授权访问导致集群入侵

K8s集群往往会因为组件的不安全配置存在未授权访问的情况，如果攻击者能够进行未授权访问，可能导致集群节点遭受入侵。比较常见的的组件未授权访问漏洞，主要包括 API Server 未授权访问、kubel...

12月25日224 views评论

阅读全文

在线咨询

微信