10款开源又好用的Linux安全工具

网络安全是永无止境的工作。从恶意软件到网络钓鱼攻击,再到高级持续威胁以及迅速增加的设备清单所带来的自身漏洞和更新要求,使得网络威胁无处不在。幸运的是,获得更好的安全性...

Read More

国内77%的 Kubernetes资产受到已知漏洞影响

近年来,云原生的概念越来越多地出现在人们的视野中,可以说云原生是云计算时代的下半场,云原生的出现是云计算不断与具体业务场景融合,与开发运营一体化碰撞的结果。谈到云原生,不...

Read More

Spring4Shell漏洞攻击进入爆发期

根据CheckPoint的遥测数据,全球受到Spring4Shell零日漏洞影响的组织中,大约有六分之一已经成为攻击者的目标。最初的漏洞利用尝试发生在Spring4Shell零日漏洞(跟踪为CVE-2022-2...

Read More

漏洞考古:MS08-067详细分析

漏洞介绍1、漏洞简述漏洞名称:MS08-067漏洞编号:CVE-2008-4250漏洞类型:栈溢出漏洞影响:远程代码执行CVSS评分:9.8利用难度:Medium利用方式:远程2、组件概述SMB是一种协议名,smb服务...

Read More

漏洞挖掘典型场景和思路!

一、漏洞挖掘的前期–信息收集虽然是前期,但是却是我认为最重要的一部分;很多人挖洞的时候说不知道如何入手,其实挖洞就是信息收集+常规owasp top 10+逻辑漏洞(重要的可能就是思...

Read More

通过DNSLOG回显验证漏洞

前言实际渗透测试中,有些漏洞因为没有回显导致无法准确判断漏洞是否存在,可能导致渗透测试人员浪费大量精力在一个并不存在的漏洞上,因此为了验证一些无回显漏洞,可结合DNSlog平...

Read More

云原生服务风险测绘分析(二): Harbor

一、概述Harbor是由VMware中国团队在2016年开发的一款开源的私有容器镜像仓库,经过多年的市场磨合,目前已被众多的企业、互联网公司和初创公司在生产环境中使用,也被绝大多数开...

Read More

Log4j 未平,Spring高危漏洞又起,比Log4j更大。

Spring是Java EE编程领域的一个热门开源框架,该框架在2002年创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个...

Read More

如何应对实战化攻防演练中的“行为漏洞”?

近年来,网络安全在国家安全中的重要性愈发凸显。随着国际局势的日益复杂,国家关键信息基础设施受到的网络安全威胁日益加剧,在最近爆发的俄乌冲突中,双方大打网络战,无不表明网络...

Read More

美国漏洞披露政策推动漏洞提交增长十倍

Bugcrowd 2021年“Priority One”报告2020年9月,美国各政府机构收到指令制定漏洞披露政策。此后,漏洞报告激增:2021年前三季度,联邦部门有效漏洞提交数量增加1000%。过去两年来,...

Read More

容器逃逸方法检测指北

0x00 前言最近发现有关容器逃逸的文章大多覆盖的方法不全,而且有些缺少相应的检测方法,导致 RT 在拿到一个容器权限时,比较难以判断这个容器存在哪些逃逸方法。本文尽可能覆盖...

Read More

钓鱼常用手法总结

STATEMENT声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文...

Read More

技术分享|记一次差点错过任意密码重置漏洞

起因前段时间参加了一场政务hw,各种waf基本上告别目录扫描,sql注入,暴力破解这些行为,主要采取的快速打点方式有弱口令,文件上传,反序列化及各种逻辑漏洞。这次要说的是期间遇见的...

Read More

拨开俄乌网络战迷雾,代码仓库测绘篇

一、前言源代码安全一直是网络信息安全中至关重要的一环;对于一个网络系统来说,源代码就是其生命的化身,无论是前期的研发还是后期的运营,源代码安全对于任何一个组织机构而言都...

Read More

CVE-2012-1889 暴雷漏洞分析与利用小记

本文为看雪论坛优秀‍‍‍文章看雪论坛作者ID:JokerMss漏洞信息“雷暴”是CVE-2012-1889漏洞,在2012年曝光的一种微软的XML核心组件漏洞,该漏洞源于未初始化内存的位置。远程攻...

Read More

漏洞挖掘分析技术总结

漏洞挖掘分析技术有多种,只应用一种漏洞挖掘技术,是很难完成分析工作的,一般是将几种漏洞挖掘技术优化组合,寻求效率和质量的均衡。1.人工分析 人工分析是一种灰...

Read More

安全威胁情报(2022.3.12~3.18)

本期目录2022.3.12-3.18 全球情报资讯1恶意软件Escobar:Aberebot银行木马的新变体CaddyWiper:针对乌克兰的新型数据擦除恶意软件Gh0stCringe RAT 被分发到易受攻击的数据库服...

Read More

记如何简单的挖掘edusrc

文章来源:先知社区(满腔热血付于海)原文地址:https://xz.aliyun.com/t/103100x01 前言闲来没事,突然想到能不能挖一手edu的漏洞,打开edusrc高校排行榜随机抽取了一位幸运儿,然后开...

Read More

武装你的BurpSuite

0x01前言BurpSuite是广大安全人员使用率最高的一款工具了,通过对数据包的修改,重放往往能发现很多安全问题,而burp的插件能帮助我们进一步优化使用体验,更好的去发现漏洞。下面...

Read More

地下网络犯罪团伙众生相

如今,包括勒索软件团伙在内的网络犯罪分子俨然成为有组织的非法企业。勒索软件团伙、敲诈组织和DDoS攻击者一再得逞,屡屡闯入知名组织实施攻击活动绝非偶然,其背后是有组织的体...

Read More

关于漏洞的基础知识

漏洞的定义官方定义:漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的下访问或破坏系统。基本理解:漏洞是协议在生命周期的各个...

Read More