Aggregator
重磅!PeckShield「派盾」发布2022年度 Web3 行业安全报告
1 year 10 months ago
PeckShield「派盾」发布2022年度 Web3 行业安全报告,年度关键词:「透明」、「合规」、「安全」。
【漏洞通报】Weblogic远程代码执行漏洞(CVE-2023-21839)
1 year 10 months ago
WebLogic 存在远程代码执行漏洞,该漏洞允许未经身份验证的攻击者通过IIOP协议网络访问并破坏易受攻击的WebLogic Server,成功的漏洞利用可导致WebLogic Server...
xiannv
【安全通报】Oracle 一月更新多个高危漏洞
1 year 10 months ago
近日,Oracle官方 发布了 2023 年 1 月份的安全更新。涉及旗下产品(Weblogic Server、Database Server、Java SE、MySQL等)的 327 个漏洞。此次修复的漏洞中包...
xiannv
利用空间测绘进行威胁分析
1 year 10 months ago
从“假漏洞”到“不忘初心”
1 year 10 months ago
Harbor是什么Harbor是一个开源的用于存储和分发Docker镜像的平台
US government announces third Hack The Pentagon challenge
1 year 10 months ago
Ethical hackers and bug bounty hunters invited to test Department of Defense assets
Resource Limit Increases for EdgeWorkers Yield Big Results
1 year 10 months ago
Read about how EdgeWorkers reduced errors resulting from resource limit constraints ? unlocking even more opportunities for businesses
AJ Johnson
Weblogic T3协议漏洞分析(一)
1 year 10 months ago
COVID-19: Moving your business from the physical to the digital
1 year 10 months ago
Security questions to ask your IT service providers during the coronavirus lockdown
管理治理联动,助力安全风险管控能力提升
1 year 10 months ago
数字化时代科技安全风险治理面临巨大挑战,安全团队需要思考从运动式检查转为长效化管控。
【漏洞通报】Harbor 镜像仓库未授权访问漏洞
1 year 10 months ago
Harbor 镜像仓库存在配置不当导致的访问控制缺陷,攻击者可通过页面搜索镜像名称,绕过登陆验证逻辑,直接查看结果中未授权的私有镜像仓库并获取仓库信息(Pull...
xiannv
一个高度可定制化的JNDI和Java反序列化利用工具
1 year 10 months ago
• 基本信息• 生成LDAP链接• Direct JNDI• 反序列化场景• 内容回显• 命令执行:• 读写
VSRC新年好礼到!
1 year 10 months ago
感谢白帽师傅们始终坚守、一路相伴!值此新春即将来临之际VSRC祝白帽师傅们:新的一年挖洞“兔”飞猛进前“兔
禅道项目管理系统未授权RCE分析记录 - magic_zero
1 year 10 months ago
漏洞原理简介 禅道项目管理系统的鉴权模块存在逻辑设计缺陷,可以允许攻击者利用无须授权的模块去内存中“伪造”一个合法用户,然后利用该用户访问需要授权的模块。从而调用危险的路由,导致命令执行。 环境搭建 点击下载,然后直接根据版本搜索需要的即可。官方提供了一键安装包,为了节省时间,我直接使用了Windo
magic_zero
RMI和JNDI反序列化知识点回顾 - admin-神风
1 year 10 months ago
RMI介绍 RMI (Remote Method Invocation) 远程方法调用,就是可以使远程函数调用本地函数一样方便,因此这种设计很容易和RPC(Remote Procedure Calls)搞混。区别就在于RMI是Java中的远程方法调用,传递的是一个完整的对象,对象中又包含了需要的参数
admin-神风
流程设计与优化
1 year 10 months ago
看看如何通过系统思考来实现安全流程的设计
Meta Keywords:是什么、为什么不
1 year 10 months ago
形如 的 Meta Keywords 是 Meta 标签的一种,仅存在于 HTML 代码中、不会在浏览器中展示。过去,Meta Keywords 标签被用于告诉搜索引擎爬虫关于网页的信息。但是,现在搜索引擎还尊重 Meta Keywords 么?Meta Keywords 是否仍然是 SEO 的最佳实践?
Sukka
DEVCORE 2023 第三屆實習生計畫
1 year 10 months ago
DEVCORE 創立迄今已逾十年,持續專注於提供主動式資安服務,並致力尋找各種安全風險及漏洞,讓世界變得更安全。為了持續尋找更多擁有相同理念的資安新銳、協助學生建構正確資安意識及技能,我們成立了「戴夫寇爾全國資訊安全獎學金」,2022 年初也開始舉辦首屆實習生計畫,目前為止成果頗豐、超乎預期,第二屆實習生計畫也將於今年 2 月底告一段落。我們很榮幸地宣佈,第三屆實習生計畫即將登場,若您期待加入我們、精進資安技能,煩請詳閱下列資訊後來信報名!
實習內容本次實習分為 Binary 及 Web 兩個組別,主要內容如下:
- Binary
以研究為主,在與導師確定研究標的後,分析目標架構、進行逆向工程或程式碼審查。藉由這個過程訓練自己的思路,找出可能的攻擊面與潛在的弱點。另外也會讓大家嘗試分析及寫過往漏洞的 Exploit,理解過去漏洞都出現在哪,體驗真實世界的漏洞都是如何利用。
- 漏洞挖掘及研究 70 %
- 1-day 開發 (Exploitation)
- Web
主要內容為研究過往漏洞與近年常見新型態漏洞、攻擊手法,需要製作投影片介紹成果並建置可供他人重現弱點的模擬測試環境 (Lab),另可能需要撰寫或修改可利用攻擊程式進行弱點驗證。
- 漏洞及攻擊手法研究 70%
- 建置 Lab 30%
台北市松山區八德路三段 32 號 13 樓
實習時間- 2023 年 3 月開始到 2023 年 7 月底,共 5 個月。
- 每週工作兩天,工作時間為 10:00 – 18:00
- 每週固定一天下午 14:00 - 18:00 必須到公司討論進度
- 如果居住雙北外可彈性調整(但須每個組別統一)
- 其餘時間皆為遠端作業
- 每週固定一天下午 14:00 - 18:00 必須到公司討論進度
大專院校大三(含)以上具有一定程度資安背景的學生
預計招收名額- Binary 組:2~3 人
- Web 組:2~3 人
每月新台幣 16,000 元
招募條件資格與流程 實習條件要求 Binary- 基本逆向工程及除錯能力
- 能看懂組合語言並瞭解基本 Debugger 使用技巧
- 基本漏洞利用能力
- 須知道 Stack overflow、ROP 等相關利用技巧
- 基本 Scripting Language 開發能力
- Python、Ruby
- 具備分析大型 Open Source 專案能力
- 以 C/C++ 為主
- 具備基礎作業系統知識
- 例如知道 Virtual Address 與 Physical Address 的概念
- Code Auditing
- 知道怎樣寫的程式碼會有問題
- Buffer Overflow
- Use After free
- Race Condition
- …
- 知道怎樣寫的程式碼會有問題
- 具備研究熱誠,習慣了解技術本質
- 加分但非必要條件
- CTF 比賽經驗
- pwnable.tw 成績
- 樂於分享技術
- 有公開的技術 blog/slide、Write-ups 或是演講
- 精通 IDA Pro 或 Ghidra
- 有寫過 1-day 利用程式
- 具備下列其中之一經驗
- Kernel Exploit
- Windows Exploit
- Browser Exploit
- Bug Bounty
- 熟悉 OWASP Web Top 10。
- 理解 PortSwigger Web Security Academy 中所有的安全議題或已完成所有 Lab。
- 參考連結:https://portswigger.net/web-security/all-materials
- 理解計算機網路的基本概念。
- 熟悉 Command Line 操作,包含 Unix-like 和 Windows 作業系統的常見或內建系統指令工具。
- 熟悉任一種網頁程式語言(如:PHP、ASP.NET、JSP),具備可以建立完整網頁服務的能力。
- 熟悉任一種 Scripting Language(如:Shell Script、Python、Ruby),並能使用腳本輔以研究。
- 具備除錯能力,能善用 Debugger 追蹤程式流程、能重現並收斂問題。
- 具備可以建置、設定常見網頁伺服器(如:Nginx、Apache)及作業系統(如:Linux)的能力。
- 具備追根究柢的精神。
- 加分但非必要條件
- 曾經獨立挖掘過 0-day 漏洞。
- 曾經獨立分析過已知漏洞並能撰寫 1-day exploit。
- 曾經於 CTF 比賽中擔任出題者並建置過題目。
- 擁有 OSCP 證照或同等能力之證照。
本次甄選一共分為三個階段:
第一階段:書面審查第一階段為書面審查,會需要審查下列兩個項目
- 書面審查
- 簡答題及實作題答案
- 應徵 Binary 實習生需額外在履歷附上下述問題答案
- 簡答題
- 請提出三個,你印象最深刻或感到有趣、於西元 2020 ~ 2023 年間公開的真實漏洞或攻擊鏈案例,並依自己的理解簡述說明各個漏洞的成因、利用條件和可以造成的影響。
- 實作題目
- 題目檔案
- 為一個互動式的 Server,可透過網路連線與之互動。
- 請分析上述所提供的 Server,並利用其中的漏洞在 Windows 11 上跳出 calc.exe。
- 漏洞可能有很多,不一定每個都可以利用。
- 請務必寫下解題過程及如何去分析這個 Server,並交 write-up,請盡你所能來解題,即使最後沒有成功,也請寫下您所嘗試過的方法及思路,本測驗將會以 write-up 為主要依據。
- 題目檔案
- 簡答題
- 應徵 Web 實習生需額外在履歷附上下述問題答案
- 簡答題
- 請提出三個,你印象最深刻或感到有趣、於西元 2020 ~ 2023 年間公開的真實漏洞或攻擊鏈案例,並依自己的理解簡述說明各個漏洞的成因、利用條件和可以造成的影響。
- 簡答題
- 應徵 Binary 實習生需額外在履歷附上下述問題答案
本階段收件截止時間為 2023/2/3 10:00,我們會根據您的履歷及題目所回答的內容來決定是否有通過第一階段,我們會在七個工作天內回覆。
第二階段:能力測驗- Binary
- 無
- Web
- 第二階段會根據您的履歷或是任何可證明具備足夠 Web 滲透相關技能的資料來決定是否需要另外做題目,如果未達標準會另外準備靶機測驗,待我們收到解題過程後,將會根據您的狀況決定是否可以進入第三階段。
- 本階段收件時間為 2023/2/5 23:59,建議提早遞交履歷,可以提前作答。
此階段為 1~2 小時的面試,會有 2~3 位資深夥伴參與,評估您是否具備本次實習所需的技術能力與人格特質。
報名方式- 請將您的履歷及題目答案以 PDF 格式寄到 [email protected]
- 信件標題格式:[應徵] 職位 您的姓名(範例:[應徵] Web 組實習生 王小美)
- 履歷內容請務必控制在三頁以內,至少需包含以下內容:
- 基本資料
- 學歷
- 實習經歷
- 社群活動經歷
- 特殊事蹟
- 過去對於資安的相關研究
- 對於這份實習的期望
- MBTI 職業性格測試結果(測試網頁)
若有應徵相關問題,請一律使用 Email 聯繫,如造成您的不便請見諒,我們感謝您的來信,並期待您的加入!
Improving Popularity Rankings for Better Threat Intelligence, Part 1
1 year 10 months ago
AkaRank can overcome biases in current domain popularity lists and help ensure the best threat coverage and user experience.
Noy Aizenberg & Congcong Xing