open - 第 10 | CN-SEC 中文网

安全博客

基于Python实现一个RASP-demo

一直想用Python的上层覆盖机制HOOK关键函数来实现一个RASP，最近有时间收集了这方面的一些资料。 0x00 引子RASP （Runtime application self-protectio...

05月17日131 views评论

阅读全文

安全博客

Vulnerable Docker VM WriteUp

半夜发烧睡不着，看到一个有意思的类CTF的题目，就看了下。 https://www.notsosecure.com/vulnerable-docker-vm/ 可以下载一个虚拟机镜像，导入后开机会提示...

05月17日37 views评论

阅读全文

安全漏洞

【高】OpenClinica-开源临床试验数据管理SQL注入漏洞

点击上方蓝字“Ots安全”一起玩耍×01 漏洞描述OpenClinica 是用于电子数据采集 (EDC) 和临床数据管理 (CDM) 的开源软件。3.16.1 之前的版本容易受到 SQL 注...

05月16日167 views评论

阅读全文

RASP | ForgeRock OpenAM RCE远程代码执行检测与防御(CVE-2021-35464)

漏洞简介 ForgeRock AM是一个开源的访问管理、权限控制平台，在大学、社会组织中存在广泛的应用。未经身份验证的攻击者可以通过构造特殊的请求远程执行任意代码，...

05月16日安全漏洞130 views评论

阅读全文

terraform的实践（二）

不是说继续GitLab的CI/CD吗，对，但是CI/CD想搞的是用terraform对接OpenStack做IaC，多复杂的系统也是一个一个简单的模块组合起来的，把每个模块都整明白，整体系统成功也就是...

05月16日安全闲碎37 views评论

阅读全文

安全文章

某音jsvmp下参数分析笔记

在获取个人主页发布视频的时候，会有两个特别的参数X-Bogus和_signature，但是在全局搜索的时候，却完全没有搜索到这两个关键字，按照以往的经验，字节的会重写XMLHttpRequest原型下...

05月15日867 views评论

阅读全文

安全漏洞

[CVE-2016-5699] Python HTTP header injection in urllib/urllib2

0 概述Python2.x 3.x 的urllib/urllib2从数据解析到发包的整个流程中，均未对URL提供安全性过滤或检查．导致换行符可被插入到HTTP数据流，使攻击者可以注入额外的HTTP头和...

05月13日76 views评论

阅读全文

安全新闻

软件包分析项目实时检查开源仓库中的包 | Linux 中国

导读：开源安全基金会（OpenSSF）发布了一个新工具的测试版，它可以对发布到著名开源仓库的所有软件包进行动态分析。本文字数：776，阅读时长大约：1分钟LCTT 译者：geekpi💎💎...

05月12日33 views评论

阅读全文

安全开发

Python在线编程的安全问题

看到某公众号提供＂Python在线编写＂功能，于是测试了几个函数．以下常规的都被过滤了os.systemos.popen subprocess commands然后试试os.popen2/3/4发现可...

05月12日59 views评论

阅读全文

安全文章

常见WAF的拦截页整理

本文由：潇湘信安排版整理前言最近较为浮躁，无心写文。发一篇以前发过的文章，原来搜集整理了30个WAF的拦截页，后边又新增了一些，大家也别问了，只有图片，没有源码和特征。(1) D盾(2) 云锁(3) ...

05月12日123 views评论

阅读全文

安全工具

OpenSSF Package Analysis：扫描开源软件包中的恶意行为

OpenSSF 2022年4月28日作者 Caleb Brown 和 David A. Wheeler, 代表保护重要项目工作组（Securing ...

05月08日99 views评论

阅读全文

安全闲碎

SAML vs OIDC：两种常见身份管理协议的对比与应用分析

安全断言标记语言（SAML）和 OpenID Connect（OIDC）是两种较为常见的身份验证协议和身份标准，有各自的优缺点和差异性。本文将对比 SAML 和 OIDC 两种协议探究各自的企业用例，...

05月07日162 views评论

阅读全文

基于Python实现一个RASP-demo

Vulnerable Docker VM WriteUp

【高】OpenClinica-开源临床试验数据管理SQL注入漏洞

RASP | ForgeRock OpenAM RCE远程代码执行检测与防御(CVE-2021-35464)

terraform的实践（二）

某音jsvmp下参数分析笔记

[CVE-2016-5699] Python HTTP header injection in urllib/urllib2

软件包分析项目实时检查开源仓库中的包 | Linux 中国

Python在线编程的安全问题

常见WAF的拦截页整理

OpenSSF Package Analysis：扫描开源软件包中的恶意行为

SAML vs OIDC：两种常见身份管理协议的对比与应用分析

在线咨询

微信