55 天前 / 浪客书心
因公众号更改推送规则,请点“在看”并加“星标”第一时间获取精彩技术分享 点击关注#互联网架构师公众号,领取架构师全套资料都在这里 0、2T 架构师学习资料干货分上一篇:RabbitMQ、RocketMQ、Kafka 三元归一 大家好,我是互联网架构师!来源:红队蓝军 nginx 漏洞描述:nginx 中间件通过堆栈溢出可以导致 RCE 影响版本:<=1.21.6 漏洞详细: log4j 漏洞描述:log4j 远程代码执行 影响版本:2.0≤Apache Log4j2 < 2.18.0 威胁等级:严重 用户交互:不需要 漏洞状态:综合评估漏洞利用难度极低,利用要求较少,影响范围很大,危害极其严重...
90 天前 / 小道安全
理论基础漏洞可以定义为“在软件和硬件组件中发现的计算逻辑(例如代码)中的弱点,当被利用时,会对机密性,完整性或可用性产生负面影响”。 软件漏洞是信息安全系统漏洞的重要组成部分,它通常被认为是软件生命周期中出现的设计错误、编码缺陷和运行故障造成的。 软件漏洞从产生、发现、解决这些维度它可以分为: 1、0 day 漏洞:表示已经被发现,但未被公开还未发布补丁的漏洞; 2、1 day 漏洞:表示厂商已经发现并公开了相关补丁,但由于部分用户还未及时打补丁,这个漏洞还是具有可利用性; 3、历史漏洞:这个漏洞的补丁发布时间很久...
90 天前 / gyreg
本文转载自国家计算机病毒应急处理中心官网作者:国家计算机病毒应急处理中心 近日,国家计算机病毒应急处理中心对美国家安全局(NSA)“酸狐狸”漏洞攻击武器平台(FoxAcid)进行了技术分析。该漏洞攻击武器平台是美国国家安全局(NSA)特定入侵行动办公室(TAO,也被称为“接入技术行动处”)对他国开展网络间谍行动的重要阵地基础设施,并成为计算机网络入侵行动队(CNE)的主力装备。该漏洞攻击武器平台曾被用于多起臭名昭著的网络攻击事件。
121 天前 / u561252
程序员的成长之路互联网 / 程序员 / 技术 / 资料共享关注 阅读本文大概需要 2.8 分钟。 来源: Alibaba Fastjson Develop Team github.com/alibaba/fastjson/wiki/security_update_20220523 近日 Fastjson Develop Team 发现 fastjson 1.2.80 及以下存在新的风险,请关注。1. 风险描述 fastjson 已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 fastjson 用户尽快采取安全措施保障系统安全。
127 天前 / gyreg
01 漏洞概况 近日,微步情报局捕获 Fastjson1.2.80 反序列化漏洞情报,攻击者可以利用该漏洞攻击远程服务器, 可能会造成任意命令执行。Fastjson 是一个 Java 库,可用于将 Java 对象转换为其 JSON 字符串表示形式, 还可用于将 JSON 字符串转换为等效的 Java 对象。漏洞复现:此次受影响版本如下: Fastjson 是否受影响≤1.2.80 是 02 漏洞评估 公开程度:未发现在野利用利用条件:无权限要求交互要求:0 Click 漏洞危害:高危、任意命令执行影响范围:Fastjson ≤1.2.80 03 修复方案 三种修复方案根据业务选择任一合适方案即可:1.建议升级到最新版本 1....
184 天前 / gyreg
供应链安全—组件漏洞和合规治理继上上周在公司内部做完 Azure DevSecOps 技术分享之后,突然发现组件漏洞的治理这一部分内容,对各大企业或厂商来说,业界有很多可圈可点的落地实践。当然,也有很多坑(甚至还无法解决),所以单独开一篇讨论企业内部的开源组件漏洞治理的话题,只谈论现象,不评价实际做法的对与错。于是就有了这篇文章。 一、组件及其与漏洞相关的几个概念组件在 IT 技术中是一个特别普通的名词,对于不同的人来说,有着不同的理解或含义。 对于产品和前场部门来说,组件更多的偏向于业务组件,是业务支撑工具中的一个组成部分。
214 天前 / 逆锋起笔
关于从先前的长期支持版本(Java 11 和 Java 8)迁移代码,你需要知道的是什么?整理 | 王晓曼 出品 | CSDN(ID:CSDNnews) SpringFramework6将采用Java17和JakartaEE9 正如在 SpringOne 上宣布的那样,Spring Framework 6 和 Spring Boot 3 计划在 2022 年第四季度实现总体可用性的高端基线:Java 17+( 来自 Spring Framework 5.3.x 线中的Java 8-17)Jakarta EE 9+(来自 Spring 框架 5.3.x线中的 Java EE 7-8)这一前瞻性的基线将为我们的 APl 设计和集成工作带来巨大的好处,在未来的许多年里,它将为应用程序代码和框架以及应用程序带来光明。
257 天前 / LouisJack
终端安全伊朗 APT35 黑客组织利用 Log4j 漏洞部署新型 PowerShell 后门 2022-01-14 10:19:232022 年 1 月,美国 Check Point 软件技术有限公司的研究人员表示,APT35 组织正在利用 Log4Shell 漏洞进行攻击并在 Windows PowerShell 中植入一种新型后门。 APT35 组织又被称为‘Charming Kitten(迷人的小猫)’或者‘Phosphorus(磷)’,一个被普遍认定为归属于伊朗国家政府的黑客组织。 研究显示,APT35 是第一批利用 Log4Shell 漏洞的组织之一。该组织往往在目标更新安全补丁之前就能够扫描出易受攻击的系统。
272 天前 / HueiFeng
总篇 120 篇 2021 年第 15 篇 前言 本文主要简述 SQL 注入漏洞原理、结合漏洞修复经验落地实践方式,最终描述整套的安全落地方案。通过本文可以了解常用测试 SQL 注入工具、不同修复方式的效果差异等。如对具体测试方法细节感兴趣,可查看注释或自行查询测试方法,受政策影响本文不再详细描述。安全是攻击与防御、矛与盾的结合体,只有彼此了解,才能“知己知彼,百战不殆”。 01 背景介绍 之家安全组结合现有情况,发现存在较多的 SQL 注入漏洞,这里简要介绍一下 SQL 注入漏洞: 根据 OWASP TOP 10 2021 最新数据,注入下滑至第三位...
285 天前 / 姬野
赶紧点击上方话题进行订阅吧!报告编号:B6-2021-121602 报告来源:360CERT 报告作者:360CERT 更新日期:2021-12-16 1 简介 近日,Log4j2 漏洞在互联网上呈现爆发性的攻击利用态势,黑客通过发送一条 JNDI 字符串荷载即可控制目标设备。据统计,该漏洞影响 6 万 + 流行开源软件以及 70% 以上的企业线上业务系统。 对此,360CERT 目前汇总整理了一份受到影响的厂商名单,请广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
285 天前 / 钟子敬07
最近几天,世超在各家互联网大厂的程序员朋友们,都快被一个叫 Log4Shell 的史诗级漏洞给折磨疯了! 这个漏洞源于一个叫Log4J2(Log For Java 2)的 Java 开源日志框架,它在用 Java 敲代码的码农群体里可以说是无人不知,无人不晓。 它就好像早年间打《魔兽世界》一定要装的大脚插件一样,属于真正意义上的“咖啡伴侣”,很少有 Java 程序不用这个组件。 就是这么一个要命的底层日志框架,被发现透了一个洞...... 最先发现漏洞的,是阿里云安全团队中,一位叫 Chen Zhaojun 的大佬。
289 天前 / 浪客书心
(给 ImportNew 加星标,提高 Java 技能) Apache Log4j2 报核弹级漏洞,栈长的朋友圈都炸锅了,很多程序猿都熬到半夜紧急上线,昨晚你睡了吗?? Apache Log4j2 是一个基于 Java 的日志记录工具,是 Log4j 的升级,在其前身 Log4j 1.x 基础上提供了 Logback 中可用的很多优化,同时修复了 Logback 架构中的一些问题,是目前最优秀的 Java 日志框架之一。 此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。
289 天前 / CODING_DevOps
导语 12 月 9 日晚间,Apache Log4j 2 发现了远程代码执行漏洞,恶意使用者可以通过该漏洞在目标服务器上执行任意代码,危害极大。 腾讯安全第一时间将该漏洞收录至腾讯安全漏洞特征库中,CODING 制品扫描基于该漏洞特征库,对引用了受影响版本的 Log4j 2 制品进行了精准定位,并给出修复建议,同时可禁止下载含有该安全漏洞的制品,最大限度的减少漏洞蔓延。 Apache Log4j 2 漏洞详情 Apache Log4j 2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了丰富的特性,作为日志记录基础第三方库,被大量 Java 框架及应用使用。
289 天前 / 铭毅天下001
信息来源:https://discuss.elastic.co/ 铭毅一句话概括:Kibana、Beats 不受任何影响。 Elasticsearch、Logstash 受到漏洞影响,需要紧急修复(尤其外网对外提供服务的集群)。 官方解读核心如下: 1、Log4j “核弹”级漏洞起因 2021 年 12 月 9 日,Log4j 的 GitHub 公开披露了一个影响 Apache Log4j 2 实用程序多个版本的高严重性漏洞 (CVE-2021-44228)。该漏洞影响了 Apache Log4j 2 的 2.0 到 2.14.1 版本。 Github 地址:https://logging.apache.org/log4j/2.x/ 本公告总结了对 Elastic 产品的任何潜在影响以及缓解问题的相关公告。
292 天前 / Alpha_h4ck
Web 安全如何使用 FUSE 挖掘文件上传漏洞 2021-11-26 15:34:46 关于 FUSEFUSE 是一款功能强大的渗透测试安全工具,可以帮助广大研究人员在最短的时间内迅速寻找出目标软件系统中存在的文件上传漏洞。 FUSE 本质上是一个渗透测试系统,主要功能就是识别无限制可执行文件上传(UEFU)漏洞。关于 UEFU 无限制可执行文件上传漏洞的相关内容,可以参考这篇【文章】,该文章发表于 NDSS2020。关于如何配置和执行 FUSE,请参阅以下内容。 工具安装当前版本的 FUSE 支持在 Ubuntu 18.04 和 Python 2.7.15 环境下工作。