一个在阿里云打工的清华学渣!之前在某厂的某次项目开发中,项目组同学设计和实现了一个“引以为傲”,额,有点扩张,不过自认为还说得过去的feature,结果临上线前被啪啪打脸,因为实现过程中因为一行代码(没有标题党,真的是一行代码)带来的安全漏洞让我们丢失了整个服务器控制权(测试环境)。多亏了上线之前有公司安全团队的人会对代码进行扫描,才让这个漏洞被扼杀在摇篮里。下面我们就一起来看看这个事故,啊,不对
分类:
其他好文 时间:
2020-08-04 10:07:11
阅读次数:
107
新病毒.PPHL是Dharma勒索软件又推出了新的加密病毒变体。Dharma系列勒索软件通过在文件后缀.PPHL扩展名来加密文件,从而使文件无法访问。
分类:
其他好文 时间:
2020-07-27 09:59:39
阅读次数:
112
#什么是SSRF漏洞 SSRF(服务器端请求伪造)是一种由攻击者构造请求,服务器端发起请求的安全漏洞,所以,一般情况下,SSRF攻击的目标是外网无法访问的内部系统。 #SSRF漏洞形成原理。 SSRF的形成大多数是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制,比如操作服 ...
分类:
其他好文 时间:
2020-07-16 12:04:17
阅读次数:
56
安全性是软件开发中最复杂,最广泛和最重要的考量之一。Java是具有许多内置安全性功能的开发平台,java在长期的发展过程中,已经经过了很多高强度的安全测试,并经常更新安全漏洞。并且Java生态系统还包括用于分析和报告安全性问题的各种工具。 但是,即使有了可靠的开发平台,也同样要保持警惕。应用程序开发 ...
分类:
编程语言 时间:
2020-07-13 10:03:07
阅读次数:
88
由于最初实现时安全性考虑不足,fastjson为了解决包含接口或抽象类的bean序列化后反序列化将之类型抹去无法拿到原始类型的问题,引入了AutoType,即在序列化的时候,把原始类型记录下来。没想到这带来了后面众多的安全漏洞。因为有了autoType功能,那么fastjson在对JSON字符串进行... ...
分类:
其他好文 时间:
2020-07-12 16:20:51
阅读次数:
47
#前言 XSS又叫跨站脚本攻击,是一种对网站应用程序的安全漏洞攻击技术。它允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响。XSS分为三种:反射型,存储型,和DOM型。下面我会构造有缺陷的代码,从代码分析这三种类型。 如果想要了解XSS基础的可以看我的这篇文章:XSS(跨站脚本攻击)简单 ...
分类:
其他好文 时间:
2020-07-12 01:06:50
阅读次数:
132
Centos 6.5/6.10 操作系统OpeSSH高危漏洞修复、离线升级OpeSSH详细步骤,内外网通用教程,纯手打 升级所需要的所有包下载地址:https://blog.csdn.net/qq_42626061 1.准备工作,准备好升级安装需要的包 telnet-0.17-47.el6.x86_ ...
分类:
其他好文 时间:
2020-07-09 22:21:03
阅读次数:
244
【漏洞解析】举个小栗子说明溢出漏洞利用原理及其检测原理 溢出漏洞利用,是指在存在缓存溢出安全漏洞的计算机中,攻击者可以用超出常规长度的字符数来填满一个域,通常是内存区地址。在某些情况下,这些过量的字符能够作为“可执行”代码来运行。从而使得攻击者可以不受安全措施的约束进行攻击行为。本文以实例详细说明溢 ...
分类:
系统相关 时间:
2020-07-08 22:52:13
阅读次数:
109
开源界最近很热闹啊,各个主流软件或框架漏洞频发,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏洞。 不要使用含有漏洞的组件每次也都被评为 OWASP 10 大安全漏洞之一。 光这半年以来,栈长知道的,通过公众号Java技术栈发布的就有 Dubbo ...
分类:
其他好文 时间:
2020-07-06 13:11:45
阅读次数:
118
论文实践 FuzzFactory: Domain-Specific Fuzzing with Waypoints 部分翻译 1简介 在分析二进制数据的程序中,模糊测试是发现安全漏洞(如缓冲区溢出)的常用技术。模糊测试一般是指测试的随机生成输入。但是近年来,过度引导模糊测试(CGF)算法取得了特别的优 ...
分类:
其他好文 时间:
2020-07-05 17:09:31
阅读次数:
193
