Aggregator

浅谈 URL 解析与鉴权中的陷阱

跳跳糖 - 安全与分享社区

1 year 5 months ago

最近一段时间都在审计 Java 代码，也算是积累了一些各式各样小技巧，但总感觉不够体系化。因此有必要先停下来，跳出业务逻辑并后退一步，更加深入地思考一下漏洞背后的成因。

有价值炮灰

浅谈 URL 解析与鉴权中的陷阱

有价值炮灰

1 year 5 months ago

最近一段时间都在审计 Java 代码，也算是积累了一些各式各样小技巧，但总感觉不够体系化。因此有必要先停下来

The Power of Proximity: Local DDoS Scrubbing Centers Enhance Security

The Akamai Blog

1 year 5 months ago

Haru Kaneko

Falco—云原生安全守护者

1 year 5 months ago

如果说之前的NeuVector是从宏观上看容器的安全，那么Falco便是从容器，主机的角度出发

【安全通告】Metabase 远程代码执行漏洞（CVE-2023-38646）

绿盟科技CERT

1 year 5 months ago

近日，绿盟科技CERT监测到Metabase远程代码执行漏洞（CVE-2023-38646）。未经身份验证的攻击者成功利用该漏洞可实现在目标服务器上以Metabase服务器权限执行任意命令。

【安全通告】Smartbi商业智能软件破解用户密码和DB2绕过判断执行命令漏洞

绿盟科技CERT

1 year 5 months ago

近日，绿盟科技CERT监测到Smartbi官方修复了破解用户密码和DB2绕过判断执行命令漏洞。攻击者成功利用该漏洞后可获取用户访问权限，进一步入侵获得系统权限或执行命令，进而对目标系统造成破坏或篡改窃取敏感信息。

Metabase 远程代码执行漏洞分析 & 一种补丁绕过方法 CVE-2023-38646

白帽酱の博客

1 year 5 months ago

作者:橙子酱前言

一开始，我按照平时在仓库中查找历史commit的方式进行查找，但是没有发现修复漏洞的地方。
我猜测代码仓库内没有对漏洞进行修复。
此外，官方在已修复漏洞的版本中删除了发布出的fatjar内的clj源码, 历史版本的源码是存在的。
Metabase这个项目使用了Lisp语言Clojure进行开发，因此编译出的二进制文件很难进行diff, 看来只能从历史源码找了。

白帽酱

溯源反制的另半节课

农夫安全团队

1 year 5 months ago

我们刚上线的社区，被人乱发给BC引流的内容。

发力车联网漏洞治理，360提升车联网安全防护能力

1 year 5 months ago

360参加车联网产品安全漏洞专业库系列会议

代理端口复用在后渗透场景中的应用探究

1 year 5 months ago

在后渗透场景中，代理几乎是不可或缺的一部分，对于多层网络架构的复杂内网环境而言，多级代理，多协议代理，端口复用等代理功能显得更重要，本文将分几个部分逐步介绍。

加速人才流动 #5

1 year 5 months ago

近期网络安全相关岗位汇聚

How CyberFish's founder got hooked on Cheltenham

1 year 5 months ago

Berta Pappenheim, CEO and co-founder of CyberFish, explains how the NCSC For Startups programme has transformed her professional and personal life.

Tackling the 'human factor' to transform cyber security behaviours

1 year 5 months ago

ThinkCyber's CEO Tim Ward reflects on the challenges that startups face when developing innovative products.

Don't Eat My Sandwich

1 year 5 months ago

三明治交易是一种利用闪电贷和 AMM 自动化做市商的策略，通过在交易对中同时进行两笔交易来实现利润。这种策略被广泛应用于去中心化交易所（DEX）和其他区块链金融应用中。

漏洞分析｜Metabase 远程代码执行(CVE-2023-38646): H2 JDBC 深入利用

1 year 5 months ago

利用 TRIGGER + DefineClass 完整的实现了 JAVA 代码执行和漏洞回显。

公告 | 创新类产品奖励体系

1 year 5 months ago

创新类产品业务奖励体系

记录一次Quake快照抓取到getshell目标

360Quake空间测绘

1 year 5 months ago

加V：quake_360 ，邀请加入技术交流群～

The ups and downs of 0-days

Threat Analysis Group (TAG)

1 year 5 months ago

The goal of this report is to analyze the exploits from the year as a whole, looking for trends, gaps, lessons learned, and successes.

Maddie StoneThreat Analysis Group

The Never-Ending Phishing Scam: When ?Natalie Hamilton? Reemerged with a Vengeance (and Power Drill)

The Akamai Blog

1 year 5 months ago

Or Katz

团队内部工具鉴赏(1)

1 year 5 months ago

本期不谈技术，浅说一下团队工作日常会用到的一些内部工具。很多朋友问我，怎么免杀？过不去火绒，过不了卡巴。mi