Alivin
从Apache Log4j2核武器级漏洞看服务器安全之痛
比漏洞本身更可怕的是「明知道有漏洞却防不住」。2021年注定是安全行业不太平的一年,除了0day满天飞、内存马&勒索病毒花式变形外,年末再曝彩蛋,Apache日志框架Log4j2爆出核武器级漏洞,简单总结一下,就是在日志打印时,如果内容中包含某一特殊字符,里面包含的内容可以被当做变量来进行替换,导致攻击者可以执行任意命令。
- 1
- 1
- 二胡卵子
- 发布于 2021-12-13 17:39:15
- 阅读 ( 6050 )
Apache Log4j远程代码执行漏洞(含排查措施和修复建议)
Apache Log4j是Apache的一个开源项目,Apache log4j2是Log4j的升级版本,我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
- 0
- 1
- 26号院
- 发布于 2021-12-10 18:42:48
- 阅读 ( 8765 )
26号院
bmstd
一次对PHP正则绕过的思考历程
## 一次对PHP正则绕过的思考历程 ## 0x0 前言 在某个CMS看到的一个基于正则的过滤函数,当时第一眼就觉得这种过滤其实没很大用的,后面深入地思考了一下,发现多种绕过思路,感觉还是...
- 2
- 1
- xq17
- 发布于 2021-11-30 10:16:53
- 阅读 ( 7463 )
某知名Java框架内存马挖掘
挖掘到了某知名Java Web框架的内存马,原理类似Tomcat的Filter内存马,通过这个经历也发现了一种进阶的内存马免杀思路
- 3
- 1
- 4ra1n
- 发布于 2021-11-25 09:41:32
- 阅读 ( 8177 )
4ra1n
2021深育杯线上初赛官方WriteUp(PWN篇)
2021深育杯线上初赛官方WriteUp(PWN篇)
- 0
- 1
- 深信服千里目安全实验室
- 发布于 2021-11-30 09:46:25
- 阅读 ( 5955 )
深信服千里目安全实验室
2021深育杯线上初赛官方WriteUp-Web篇
2021深育杯线上初赛官方WriteUp-Web篇
- 2
- 1
- 深信服千里目安全实验室
- 发布于 2021-11-19 10:04:04
- 阅读 ( 8393 )
微服务下统一认证风险总结
随着微服务的发展,微服务越来越多,为每一个服务写一套认证服务会浪费很多人力,所以越来越多的公司开始使用统一认证了。统一认证给大家带来便利的同时,也带来了新的安全风险。仅以此文与大家...
- 3
- 1
- Alivin
- 发布于 2021-11-19 17:02:24
- 阅读 ( 8303 )
Windows应急响应分析
# Windows应急响应分析 ## 写在前面 在最近几年中,网络安全正在慢慢的走入人的视野,越来越多的人学安全,了解安全。在Windows攻击思路上也非常新颖,无文件攻击受到了很多人的关注如:...
- 3
- 1
- Honeypot
- 发布于 2021-11-17 09:51:54
- 阅读 ( 7974 )
Honeypot
ADSelfService Plus未授权RCE漏洞(CVE-2021-40539)利用与分析
睡一觉就把漏洞给分析了
- 0
- 1
- w1nk1
- 发布于 2021-11-12 16:57:59
- 阅读 ( 11878 )
Ysoserial Click1利用连分析
`click1 gadget`构造思路是基于`Commons-Collections2`的Sink点`(com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl)`和source点`(java.util.PriorityQueue)`。`Commons-Collect...
- 1
- 1
- 深信服千里目安全实验室
- 发布于 2021-11-08 17:49:41
- 阅读 ( 5649 )
fan
个人总结:使用测绘平台搜索目标资产的万能招式
周末试了试最近新出的一款测绘产品——全球鹰网络空间测绘搜索平台,个人对如何使用测绘平台搜索资产做了一些通用总结,不喜勿喷
- 5
- 1
- HUNTER网络空间测绘
- 发布于 2021-11-02 14:05:55
- 阅读 ( 10154 )
HUNTER网络空间测绘
szbuffer