redis | CN-SEC 中文网

代码审计

轻松学会Java代码审计之实战案例第1天

前言上次我们一起深入分析了一个Java审计的案例，大家有没有掌握其中的一些基本技巧和方法呢？今天还是老规矩，先搭建网站的环境。只不过这次的项目源码跟之前的不太一样，采用的前后端分离技术，跟着我们的脚步...

02月28日16 views1

阅读全文

HTTPS中的S是什么意思？

大家好，我是轩辕，上次提到有人用ChatGPT来面试，企图蒙混过关，结果评论区有人说为什么不能用AI面试，反正工作中也是要用，面试为啥就不能用。看到这评论，我差点一口老血喷出来。最近面了很多人，发现很...

02月25日安全百科12 views评论

阅读全文

安全开发

手把手教你如何创建及使用Go module

Go module是从Go 1.11版本才引入的新功能。其目标是取代旧的的基于GOPATH方法来指定在工程中使用哪些源文件或导入包。本文首先分析Go引入module之前管理依赖的优缺点，然后针对这些缺...

02月24日2 views评论

阅读全文

安全文章

Redis Lua 沙盒逃逸 RCE(CVE-2022-0543)复现

漏洞说明Debian 以及 Ubuntu 发行版的源在打包 Redis 时，不慎在 Lua 沙箱中遗留了一个对象package，攻击者可以利用这个对象提供的方法加载动态链接库 liblua 里的函数，...

02月24日18 views评论

阅读全文

安全文章

漏洞复现-Redis未授权利用

0x01 漏洞描述Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，...

02月24日12 views评论

阅读全文

安全文章

【技术分享】Python安全 - 从SSRF到命令执行惨案

前两天遇到的一个问题，起源是在某个数据包里看到url=这个关键字，当时第一想到会不会有SSRF漏洞。以前乌云上有很多从SSRF打到内网并执行命令的案例，比如有通过SSRF+S2-016漏洞漫游内网的案...

02月22日17 views评论

阅读全文

应急响应

记一次Linux(被黑客)入侵......

0x00 背景周一早上刚到办公室，就听到同事说有一台服务器登陆不上了，我也没放在心上，继续边吃早点，边看币价是不是又跌了。不一会运维的同事也到了，气喘吁吁的说：我们有台服务器被阿里云冻结了，理由：对...

02月20日9 views评论

阅读全文

安全文章

redis未授权访问利用方式

内网普遍存在redis未授权访问情况，进入后可查看reids版本和主机系统信息redis未授权访问不仅有信息泄露风险，伴随启动redis权限的不同还可能引发Web应用程序被写入后门服务器被写入攻击者s...

02月15日4 views评论

阅读全文

安全工具

sub3suite：一款功能强大的跨平台资源情报收集工具

关于sub3suite sub3suite是一款功能强大的跨平台资源情报收集工具，该工具可以帮助广大研究人员执行子域名枚举、公开资源情报信息收集和攻击面映射等任务。sub3suite基于大量工具实现...

02月15日25 views评论

阅读全文

安全新闻

潜伏的致命威胁：伪装DeepSeek工具的木马病毒曝光！

随着DeepSeek在人工智能领域的持续走红，不法分子开始利用其市场热度作为攻击诱饵。近日，360安全大脑就监测到了一款木马，伪装成深受欢迎的 DeepSeek工具，内部实则隐藏了危害性极大的后门功能...

02月12日39 views评论

阅读全文

安全工具

HeapDump【敏感信息提取工具】

近期在搞安全演练，每天可忙得晕头转向。总是要对各种使用 Spring 框架的 Java 应用程序进行安全审计，检查它们是否存在信息泄露这类安全隐患。这时候，发现 Spring 框架的 Java 应用程...

02月11日26 views评论

阅读全文

安全文章

Redis数据库主从复制RCE影响分析

Reids 未授权的常见攻击方式有绝对路径写Webshell、写ssh公钥、利用计划任务反弹shell、主从复制RCE。利用主从复制RCE，可以避免了通过写文件getshell时由于文件内含有其他字符...

02月11日10 views评论

阅读全文

轻松学会Java代码审计之实战案例第1天

HTTPS中的S是什么意思？

手把手教你如何创建及使用Go module

Redis Lua 沙盒逃逸 RCE(CVE-2022-0543)复现

漏洞复现-Redis未授权利用

【技术分享】Python安全 - 从SSRF到命令执行惨案

记一次Linux(被黑客)入侵......

redis未授权访问利用方式

sub3suite：一款功能强大的跨平台资源情报收集工具

潜伏的致命威胁：伪装DeepSeek工具的木马病毒曝光！

HeapDump【敏感信息提取工具】

Redis数据库主从复制RCE影响分析

在线咨询

微信