redis - 第 2 | CN-SEC 中文网

安全文章

漏洞复现-Redis未授权利用

0x01 漏洞描述Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，...

02月24日17 views评论

阅读全文

安全文章

【技术分享】Python安全 - 从SSRF到命令执行惨案

前两天遇到的一个问题，起源是在某个数据包里看到url=这个关键字，当时第一想到会不会有SSRF漏洞。以前乌云上有很多从SSRF打到内网并执行命令的案例，比如有通过SSRF+S2-016漏洞漫游内网的案...

02月22日19 views评论

阅读全文

应急响应

记一次Linux(被黑客)入侵......

0x00 背景周一早上刚到办公室，就听到同事说有一台服务器登陆不上了，我也没放在心上，继续边吃早点，边看币价是不是又跌了。不一会运维的同事也到了，气喘吁吁的说：我们有台服务器被阿里云冻结了，理由：对...

02月20日13 views评论

阅读全文

安全文章

redis未授权访问利用方式

内网普遍存在redis未授权访问情况，进入后可查看reids版本和主机系统信息redis未授权访问不仅有信息泄露风险，伴随启动redis权限的不同还可能引发Web应用程序被写入后门服务器被写入攻击者s...

02月15日15 views评论

阅读全文

安全工具

sub3suite：一款功能强大的跨平台资源情报收集工具

关于sub3suite sub3suite是一款功能强大的跨平台资源情报收集工具，该工具可以帮助广大研究人员执行子域名枚举、公开资源情报信息收集和攻击面映射等任务。sub3suite基于大量工具实现...

02月15日27 views评论

阅读全文

安全新闻

潜伏的致命威胁：伪装DeepSeek工具的木马病毒曝光！

随着DeepSeek在人工智能领域的持续走红，不法分子开始利用其市场热度作为攻击诱饵。近日，360安全大脑就监测到了一款木马，伪装成深受欢迎的 DeepSeek工具，内部实则隐藏了危害性极大的后门功能...

02月12日59 views评论

阅读全文

安全工具

HeapDump【敏感信息提取工具】

近期在搞安全演练，每天可忙得晕头转向。总是要对各种使用 Spring 框架的 Java 应用程序进行安全审计，检查它们是否存在信息泄露这类安全隐患。这时候，发现 Spring 框架的 Java 应用程...

02月11日61 views评论

阅读全文

安全文章

Redis数据库主从复制RCE影响分析

Reids 未授权的常见攻击方式有绝对路径写Webshell、写ssh公钥、利用计划任务反弹shell、主从复制RCE。利用主从复制RCE，可以避免了通过写文件getshell时由于文件内含有其他字符...

02月11日18 views评论

阅读全文

安全工具

NucleiPlatform：分布式扫描系统 nuclei-scan

0x01 工具介绍 NucleiPlatform 扫描模块 —> 逻辑设计简单，随时添加目标资产，针对大量资产进行扫描。 —> 支持对资产进行项目分组。 —> 至少两至三台机器去做 ...

02月10日10 views评论

阅读全文

安全文章

Redis数据库安全问题分析总结

1Redis基础一些基础操作redis是一个key-value型数据库，详细基础知识可以参考：https://www.runoob.com/redis，这里把一些要点给罗列出来ubuntu 安装 re...

01月26日8 views评论

阅读全文

制度法规

Redis三级等保测评作业手册

原文始发于微信公众号（网络安全直通车）：Redis三级等保测评作业手册

01月16日15 views1

阅读全文

安全文章

Lua项目下SSRF利用Redis文件覆盖lua回显RCE

0x1 软件安全攻防赛Lua Web项目 lua项目中script文件源码如下 ##LUA_START##-- 引入cURL库和Redis库local curl = require("cURL")lo...

01月13日9 views评论

阅读全文

在线咨询

微信