rasp - 第 2 | CN-SEC 中文网

HW&HVV

第110篇：国hu攻防比赛蓝队防守经验总结（上篇）

Part1 前言大家好，我是ABC_123。一年一度的网络安全大考终于告一段落，在以往的蓝队防护里面，记了很多笔记，画了一很大很大的思维导图，有一些经验和心得还是值得总结的。 Part2 技术研究...

12月27日40 views评论

阅读全文

安全文章

如何从容的应对Log4j漏洞（RASP Demo）

1 Log4j漏洞余波未平此次Apache Log4j2远程代码执行漏洞影响面广，利用门槛低，危害还极大，堪称“史诗级”的漏洞。Java的应用极其广泛且生态庞大，而Log4j作为日志处理的基础组件被几...

12月17日7 views评论

阅读全文

安全工具

JYso可以同时具备多种JNDI高版本、WAF、RASP的Bypass功能工具

下载 https://github.com/qi4L/JYso 使用说明所有使用示例，用的是Yakit的FUZZ语法 🦄内存马两种添加方式：支持引用远程类加载方式打入（Basic路由）。支持本...

11月08日70 views评论

阅读全文

安全文章

RASP漏洞防御之 shiro 反序列化

“ RASP漏洞防御之 shiro 反序列化” ApacheShiro框架提供了记住我的功能（RememberMe），用户登陆成功后会生成经过加密并编码的cookie，在服务端接收cookie值后，B...

10月23日21 views评论

阅读全文

安全文章

webshell下的Rasp简易绕过

一、什么是RASP？在2014年的时候，Gartner引入了“Runtime application self-protection”一词，简称为RASP。它是一种新型应用安全保护技术，它将保护程序...

09月26日82 views评论

阅读全文

安全漏洞

0day漏洞防御篇：（CVE-2024-38856）Apache OFBiz 远程代码执行漏洞

CVE-2024-38856是一个错误授权漏洞，是因身份验证机制中存在缺陷而产生的漏洞。Apache OFBiz在处理view视图渲染时存在逻辑缺陷，该漏洞允许未经身份验证的远程攻击者通过构造特殊UR...

08月10日88 views评论

阅读全文

安全漏洞

漏洞预警：Nacos 0day漏洞触发远程代码执行

Nacos即Dynamic Naming and Configuration Service（动态命名与配置服务），是开源的一款服务发现、配置和管理微服务的中间件。在Nacos中新发现的0day漏洞可...

07月19日48 views评论

阅读全文

IAST，常用的开源、免费工具！

什么是 IASTIAST（交互式应用安全测试）是一种在应用程序运行时进行安全检测的方法，我们可以认为 IAST 是嵌入应用程序内的一种安全测试手段；它结合了静态应用安全测试（SAST）和动态应用安全测...

06月26日安全工具218 views评论

阅读全文

安全闲碎

RASP检测能力提升的思考与实践

许纬地，平安银河实验室安全研究员，研究方向为蓝军攻击、RASP防护、云原生等。🔥🔥🔥国内技术领先的开源RASP社区：https://www.jrasp.com原文始发于微信公众号（RASP安全技术）：...

05月13日23 views评论

阅读全文

安全职场

甲方网络安全负责人面试题（二面）下

静态检测与动态检测的区别静态检测是在程序不运行的情况下，对源代码进行快速扫描，根据定义的规则来识别安全漏洞、代码质量、敏感信息风险等，更加适合用来发现 SQL 注入、XSS、缓存区溢出、输入验证、硬...

05月12日45 views评论

阅读全文

供应链安全

关于软件供应链安全的一些想法

软件供应链安全也算是业内比较有研究价值的一个方向。产生这个方向的主要原因就是：开源代码无处不在对于任何公司、组织和个人开发者来说，问题不是你是否在有使用开源代码，而是你在使用什么开源代码，以及使用了多...

05月08日8 views评论

阅读全文

代码审计

JRASP反射加固实践

JRASP反射加固实践JRASP十分重视自身安全性的建设，采用了多种方式提高RASP自身的安全防护能力，包括：策略配置加密；RASP自身代码与业务隔离；安全策略模块磁盘加密、运行时解密；Agent与D...

04月02日18 views评论

阅读全文

在线咨询

微信