偷窃他人漏洞报告变卖成副业,漏洞赏金平台出“内鬼”

在如今高度发达的网络大数据时代,各个公司的发展都依赖着互联网的加持。但同时,各种各样的安全漏洞、非法破解等问题层出不穷,再完美的系统也会存在容易被攻击的Bug。 在这样的背景下,公司与其让黑客发现并攻击其难以发现的安全漏洞,倒不如花钱请“白帽黑客”先披露,然后尽快做出修补。 本文提到的Hac...

Mycat安全设置

🍁 作者:微枫Micromaple 💒 主页:欢迎关注Micromaple 📌 简介:Java程序员、后端全栈工程师 🔗 点赞👍➕收藏⭐➕留言📝 您的支持就是我前进的动力💪💪💪 ...

web 跨域请求安全问题

说起前端安全问题,大部分都听过 XSS 和 CSRF 这两个名词,前端面试中我们也经常会问这两个点作为 web 安全的一些基础考察。但大部分只是从浅谈辄止,停留在基本词义,很少有人真正去主动实践过安全,并且思考背后的关联。 前端安全主要来源两个方面,一个是不安全的脚本、另一个是不安全的请求,前者代表各种 XSS 等注入脚本的手段、后者则发起非法的请求,CSRF 是代表。 web...

Kubernetes安全之KubeEye

一 前言KubeEye 是一款 Kubernetes 安全及配置问题检测工具,针对部署在 K8s 集群中的业务应用进行配置检测使用 OPA,针对集群部署的 Node 使用Node-Problem-Detector进行检测,同时除了系统内置有根据大多数业界常见场景的预定义规则,还支持用户自定义规则来进行集群检测。 二 架构 KubeEye 通过调用 Kubernetes API,...

【Windows逆向】Windows进程动态patch入门+pyqt5搭建GUI

目标希望学习对Windows进程的动态patch,我们选择的exe是buuoj的“不一样的flag”。这题是迷宫题的hello world,没有加壳,没有任何代码混淆,且可以把它当成一个超小型的游戏,有助于提升信心。 为了直观,以GUI的形式提供对目标进程的动态patch功能: 未检测到目标进程,相关的输入控件不可使用。检测到目标进程时,读取目标进程内存中的数据,显示目标进程...

2022全国职业院校技能大赛”网络安全“B模块中间件渗透测试

最近和朋友新建了一个比赛讨论群,有意的可以进一下,扣扣群号为809706080 需要环境私聊群主 **简单描述 Phpstudy是一款免费的PHP调试环境的程序集成包。该程序包集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件,一次性安装,无需配置即可直接使用,...

【云原生】那些看起来很牛X,原理却很简单的一行代码

「作者主页」:士别三日wyx 「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 1. 万能密码 没错,就是字面意思,只需要知道账号,然后输入下面这行代码: 账号'and 1 -- a 比如,很多网站的默认账号都是adm...

Java反序列化漏洞 - 1.从URL类的一个bug 说起

URL 类的一个远古bugJava 的URL 类有个很好玩的bug,当你调用它的hashCode()方法时,会发起一次DNS 解析。例如,当你往HashSet 添加一个URL元素时,会触发URL 的hashCode() 方法比较元素,然后发出一个DNS 请求。 这个bug 源于URL 的一个错误实现,早在2001 年已经有人反馈给oracle,我们现在还能在Oracle 的ja...

只是巧合?苹果iOS16的神秘技术竟然与中国企业5年前产品一致!

最近,苹果又来“整顿”手机厂商了。 有传言称,新版 iOS 16 将加入一个名为「自动验证」的新功能,可跳过网页和 App 中的人机验证流程,升级了 iOS 16 测试版的用户,可以进入「设置」—「Apple ID」—「密码与安全性」,在页面最下方找到这个功能。 什么意思呢? 以前,当你打开苹果的某个 App 时,系统首先要证明你是“人”而不是“机器”,需要识别验证码来证明你...

什么?初级程序员才删库跑路,高级的都在代码投毒。。。

theme: channing-cyan   事情是这样的,最近在做开源软件供应链安全相关的项目,之前没了解这方面知识的时候感觉服务器被黑,数据库被删,网站被攻,这些东西都离我们太遥远了,因为感觉好像都轮不到我们,直到我开始做这个项目,才发现网络安全,软件安全问题真的是无处不在。今天我们来聊聊删库跑路和代码投毒。 我们从可操作性及易发现性还有后果及预防策略上来探讨一下。 删库跑...