最近，有报道称英国爱丁堡大学（The University of Edinburgh）用来进行新冠病毒研究的超算系统Archer，由于遭受网络攻击，被迫下线停止工作。出于好奇，我以关联方式整理了一些网络上公开的攻...

作者：m2ayill（白帽汇安全研究院）概述目前的设备模拟都需要用户人工操作，没有一个直接可用的方案，难度大成本高耗时长。而且在各大漏洞靶场中都没有集成，如：Vulfocus 开源靶场，等。本文主...

Java SSM框架代码审计、SSM框架各个成之间的关系https://foreti.me/2017/07/20/ssm-framework/审计的触发点web.xml文件tomcat启动后会自动加载web.xml中的配置，首先是生成DispatcherServlet类...

一、前言 最近几年容器化技术快速发展，各大互联网厂商也都开始使用容器化技术，而如何保证容器安全便是撰写本文的目的之一。Anchore Engine的功能之一是可以基于CVE数据来对容器镜像进行漏洞扫...

程序流程按照个人的习惯，先走一下程序的流程，它有几点好处，1、可以快速浏览完系统运行的代码顺序、2、了解系统各文件功能、3、了解系统整个目录的分布情况。很明显，首页加载了common.inc.ph...

一、背景腾讯安全威胁情报中心检测到跨平台挖矿木马GuardMiner近期十分活跃，该木马会扫描攻击Redis、Drupal、Hadoop、Spring、thinkphp、WebLogic、SQLServer、Elasticsearch多个服务器组件漏...

前言seacms是一个代码审计入门级的cms，比较适合我这种小白玩家来学习，如果有什么错误欢迎指出。环境phpstudy prophp5.4.45ntsseay代码审计工具phpstromsqlmapseacms v10.1因为这个cms的官网已...

漏洞复现Version：2.7.3 （dubbo-spring-boot-samples）JDK：1.8.66利用公开的Poc进行复现无法命令执行的原因*原因1 缺少 Rome依赖，在pom.xml中添加以下依赖<dependency> <groupI...

近期确定了Higaisa发起的最新LNK攻击，Higaisa APT与朝鲜半岛有关，于2019年首次披露。该小组的活动可以追溯到2016年，主要使用木马（例如Gh0st和PlugX）以及移动恶意软件等工具。 其目标包括政...

本文讲述了作者在目标站点的JS脚本中发现了NPM_TOKEN和私有仓库链接，然后利用该NPM_TOKEN，结合.npmrc格式请求，访问到了目标站点相关的NPM项目私有仓库。漏洞获得了厂商$8000的奖励。 发现过...