已是凌晨三点,想着写点什么,发现互联⽹上针对漏洞相关⽂章资源较多,⽽威胁情报相关内容却是少之⼜少。便创作此⽂。希望能够借助先知社区这个优秀的平台,和各位师傅⼀起分享我在情报 ⽅向的⼀些思考和个⼈⻅解。...
香蕉小队在假GitHub仓库中隐藏了窃取数据的恶意软件
ReversingLabs的研究人员最近发现了一种令人担忧的新攻击方法,该方法由一个名为“香蕉小队”的组织领导。该组织于2023年10月首次被Checkmarx研究人员发现,以其狡猾的方法而闻名,他们...
【工具分享】OSS漏洞检测工具
简介: 一款OSS漏洞的检测工具,此工具与原先分享过的OSSFileBrowse工具分别可以检测出大部分OSS方面的漏洞。 使用: git clone https://github.com/UzJu/...
浅谈S3标准下存储桶应用中的安全问题
原文首发在:奇安信攻防社区https://forum.butian.net/share/4340什么是存储桶 想象存储桶就像你家里的一个大柜子,专门用来存放各种物品(文件)。在阿里云对象存储服务(OS...
CBLD云存储桶利用工具的使用与实战
文章首发于:火线Zone社区(https://zone.huoxian.cn/)CBLD名字乱写的,我自己都没想好这个工具叫什么名字,如果有好想法的时候可以在Issue中提出。目录概要0x00 前言关...
仿冒奇安信证书!针对区块链客户的定向攻击活动
概述奇安信威胁情报中心和天擎猎鹰团队在终端运营过程中发现一伙未知的攻击者正在瞄准区块链行业的客户,恶意的压缩包为“转账截图2025.5.31.zip”,攻击者通过 Telagram 通信软件一对一进行...
桶文件覆盖之谷歌语法显神功
进入某SRC的某站点后,发现一个文件上传功能点,可以上传jpg,png,pdf,doc,gif等文件,任意上传了一个1.gif文件发现返回的储存桶文件名还是1.gif,没有对文件名加时间戳处理或者进行...
实战某社交APP | 利用SDK构造OSS文件上传漏洞
市面上的社交APP非常多,有某个社交APP,存在文件上传头像的功能。 APP此时想要上传,肯定会打开相册,但是相册里的都是图片,我们想自定义后缀是没办法的。 此时可以直接采用burp抓包,...
分享云安全浪潮src漏洞挖掘技巧
扫码加圈子获内部资料网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈...
OSS漏洞检测工具
前言以前总结过OSS可能存在的安全问题,本次找到了一个可以自动化检测的工具分享一下。Cloud-Bucket-Leak-Detection-Toolsgithub地址https://github.co...
存储桶OSS一键遍历
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢!文章有疑问的,可以公众号发消息...
OSS 签名绕过上传任意文件到别人的网站
OSS 的签名直传签名一般长这样{ "accessid": "MlLTAI5Zt...", "host": "https://oss-cn-shanghai.aliyuncs.com", ...