专家精品｜ 从被动响应到主动感知：云原生自动化应急响应实战 最近参加了Xcon2020安全技术峰会，趁热打铁跟大家聊聊云平台上的原生自动化应急响应。随着云计算的大规模普及，公有云的应急响应趋势已逐渐从"被动响应"发展为"主动感知"。一方面云... 2020-08-28 18:54:09 | 阅读: 472 | 收藏 | www.secpulse.com 数据 溯源 入侵 安全 自动化

察言观色也能挖到0day？在聊天记录中的漏洞挖掘 这是 酒仙桥六号部队 的第 30 篇文章。全文共计2229个字，预计阅读时长8分钟。0x01 前言大家在做代码审计或者学习代码审计的过程中，会有大量时间是对着代码的。有... 2020-08-28 17:59:47 | 阅读: 358 | 收藏 | www.secpulse.com 修复 漏洞 注入 payload security

FasterXML Jackson-databind 多个远程代码执行漏洞 1 FasterXML Jackson组件介绍FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中... 2020-08-28 12:13:35 | 阅读: 699 | 收藏 | www.secpulse.com jackson databind 漏洞 fasterxml github

从Fastjson绕WAF到打穿网闸 这是 酒仙桥六号部队 的第 29 篇文章。全文共计2160个字，预计阅读时长8分钟。前言记述一次授权测试中对某企业进行测试。PS：渗透过程中的任何敏感信息... 2020-08-28 11:29:11 | 阅读: 379 | 收藏 | www.secpulse.com 数据 数据库 漏洞 信息 上线

zabbix SQL注入漏洞（CVE-2016-10134）复现 漏洞介绍：zabbix是一款服务器监控软件，其由server、agent、web等模块组成，其中web模块由PHP编写，用来显示数据库中的结果。漏洞环境：在vulhub执行如下命令... 2020-08-27 17:54:16 | 阅读: 411 | 收藏 | www.secpulse.com sessionid php 漏洞 profileidx2 0x7e

2020 强网杯s4 Web Wrtieup 扫描得到网站备份文件，查看源代码发现是反序列化题目分析Class.php<?phpclass player{    protected $user;    protected... 2020-08-27 16:28:47 | 阅读: 518 | 收藏 | www.secpulse.com 5c0 php username 2a midsolo

「Burpsuite练兵场」SQL注入及相关实验（一） 说到SQL注入漏洞，各位小伙伴一定是耳熟能详，作为一种常见的高危漏洞，其对于应用程序的损害是非常严重的。因此这也是一个在渗透测试的过程中具有高优先级的验证目标，所以将与之相关的实验进行优... 2020-08-27 15:25:23 | 阅读: 497 | 收藏 | www.secpulse.com 注入 数据 账号 子句 gifts

精通PHP序列化与反序列化之“道” 什么是序列化和反序列化序列化：将对象转换成一个字符串，PHP序列化函数是:serialize() 反序列化：将序列化后的字符串还原为一个对象，PHP反序列化函数是:unserialize()... 2020-08-26 16:07:43 | 阅读: 306 | 收藏 | www.secpulse.com typecho php 魔术 pers phpclass

三天内不给钱就泄密，Sekhmet勒索需警惕 背景概述Sekhmet勒索病毒于今年三月份出现，已有一家跨境IT服务公司的数据被该勒索病毒团伙在博客上公布了近百G的数据。攻击者采用先窃取再加密的方式实施勒索行为。该勒索病毒和“大名... 2020-08-26 12:29:01 | 阅读: 402 | 收藏 | www.secpulse.com 加密 勒索 信息 chacha20 病毒

从PbootCMS审计到某狗绕过 之前审计发现的PbootCMS2.0.3前台RCE，看了最近的版本更新漏洞被修复了，就放出之前的POC顺便看看能不能绕过补丁。 项目地址：https://github.com/hnaoyun/Pb... 2020-08-26 12:13:42 | 阅读: 354 | 收藏 | www.secpulse.com php 绕过 payload implode 前台

攻守道—流量分析的刀光剑影（下） 这是 酒仙桥六号部队 的第 24 篇文章。全文共计3449个字，预计阅读时长11分钟。大家好，我又回来了，上一期我们对那一起攻击事件流量的分析只进行了一半，事情还远未结束... 2020-08-25 18:42:52 | 阅读: 333 | 收藏 | www.secpulse.com 数据 攻击 攻击者 数据库 流量

攻守道—流量分析的刀光剑影（上） 这是 酒仙桥六号部队 的第 23 篇文章。全文共计3915个字，预计阅读时长12分钟。前言又到了一年一度的HW时刻，各家都在为HW积极筹备着，一些厂商也在做着攻防演练的工作... 2020-08-25 17:54:51 | 阅读: 398 | 收藏 | www.secpulse.com 攻击 数据 php 流量 攻击者

从逆向角度看证书覆盖安装漏洞 这是 酒仙桥六号部队 的第 22 篇文章。全文共计1646个字，预计阅读时长6分钟。前言首先我们来了解下证书覆盖安装漏洞，此漏洞是2020年Google官方公布的漏洞之... 2020-08-25 15:47:02 | 阅读: 454 | 收藏 | www.secpulse.com 证书 漏洞 apk 修复

安全通告｜宝塔面板数据库管理未授权访问漏洞风险通告 近日，腾讯云安全运营中心监测到，宝塔面板官方发布通告，披露了一个数据库管理未授权访问漏洞，漏洞被利用可导致数据库管理页面未授权访问。为避免您的业务受影响，腾讯云安全建议您及时开展安... 2020-08-25 12:37:58 | 阅读: 359 | 收藏 | www.secpulse.com 漏洞 安全 宝塔 数据 数据库

性感“注入”，在线“发牌” 这是 酒仙桥六号部队 的第 21 篇文章。全文共计2037个字，预计阅读时长7分钟。前言周末的清晨，我在模模糊糊的睡梦中被电话惊醒，发现好多未接视频，连忙的看了一下... 2020-08-25 12:11:11 | 阅读: 430 | 收藏 | www.secpulse.com 拦截 信息 数据 数据库 绕过

Weblogic WLS Core Components 反序列化命令执行漏洞（CVE-2018-2628）复现 漏洞介绍：    Oracle 2018年4月补丁中，修复了Weblogic Server WLS Core Components中出现的一个反序列化漏洞（CVE-2018-2628）... 2020-08-24 15:49:30 | 阅读: 457 | 收藏 | www.secpulse.com 漏洞 攻击 7001 端口

渗透测试之黑白无常 1背景本文是前段时间做过的测试，当时并没有进行截图以及记录，所以本文全篇使用本地搭建环境来复现，如有觉得不合理的地方，可能是本地复现的时候未完全还原真实环境，主要是记录当时在做这个渗透测试的... 2020-08-21 16:20:58 | 阅读: 433 | 收藏 | www.secpulse.com 数据 payload wordpress 注入 漏洞

浅谈渗透江湖之细水柔情 这是 酒仙桥六号部队 的第 19 篇文章。全文共计4030个字，预计阅读时长12分钟。1前言在渗透测试的江湖里，不只有getshell后在刀光剑影的内网中... 2020-08-21 13:12:24 | 阅读: 318 | 收藏 | www.secpulse.com 漏洞 遍历 openid 信息 模块

手工搭建建议的Linux恶意脚本分析系统 概述Linux环境下的恶意软件大部分以shell脚本作为母体文件进行传播，而且，同一个病毒家族所使用的的恶意脚本往往具有极高相似性，新变种的脚本大部分是在旧变种脚本的基础上进行修改，新... 2020-08-21 11:48:41 | 阅读: 390 | 收藏 | www.secpulse.com 脚本 病毒 difflib similarity

从RCE漏洞看国产网络安全产品的沦陷，论软件安全的重要性 近日，深信服EDR终端检测响应平台RCE漏洞复现，该事件引发了业内强烈关注。监控发现网络上出现关于深信服EDR终端检测响应平台存在0day漏洞信息，经过追踪调查确认该漏洞真实存在。攻击者... 2020-08-21 11:38:02 | 阅读: 520 | 收藏 | www.secpulse.com 安全 漏洞 远程 攻击 注入