0x00 前言SoapFormatter格式化器和下节课介绍的BinaryFormatter格式化器都是.NET内部实现的序列化功能的类,SoapFormatter直接派生自System.Object…
背景概述近日深信服安全感知平台发现客户服务器中的文件被篡改,植入赌博页面。经深信服安全团队排查,发现大量网页文件被篡改,且被篡改的时间非常密集,如下图所示在2019年3月26日 16:46左右网站目录…
0x00 前言BinaryFormatter和SoapFormatter两个类之间的区别在于数据流的格式不同,其他的功能上两者差不多,BinaryFormatter位于命名空间 System…
说到xss漏洞挖掘,我们可以看到网上是这个样子的。 我们会看到有各种xss的文章方便大家了解相关的知识,以及搭建一些平台进行学习。而我最近在挖洞的时候,掌握了一种新的“姿势”,发…
近日,Spring官方团队在最新的安全更新中披露了一则Spring Cloud Config目录遍历漏洞(CVE-2019-3799)。漏洞官方定级为High,属于高危漏洞。该漏洞本质是允许应用程序通…
安|识|科|技盼望着,盼望着,春天来了上海安识网络科技有限公司正式通过国家高新技术企业认证收到由上海市科学技术委员会、上海市财政厅、国家税务总局上海市税务局联合颁发的《高新技术企业证书》安识三年,始终…
Digispark是一个这样的很小的开发板淘宝上10元左右一个准备Digispark ATtiny 85Arduino IDE 1.8.4 (parrot 中的ide是2.x版本的没有Boa…
1. 背景概述近期,深信服安全团队接到客户反馈,内网中出现了大量伪造成文件夹的可疑exe文件,删掉以后仍会反复。经深信服安全团队分析发现,这是一个蠕虫病毒FakeFolder,该病毒会通过U…
0x00 前言LosFormatter一般也是用于序列化和反序列化Web窗体页的视图状态(ViewState),如果要把ViewState 通过数据库或其他持久化设备来维持,则需要采用特定的 LosF…
2019第四届SSC安全峰会将于8月份在古都西安盛大开启!SSC安全峰会于2016年创办于西安,每年举办一届,迄今为止已成功举办了三届,得到了行业充分认可和社会各届广泛关注,成为我国中西部最具盛名,影…
安全研究员John Page在3月27日向微软报告了一个XXE漏洞,并向其报告了详细信息,随后在4月10日发布了该漏洞的详细信息。目前,虽然微软尚未修复此漏洞,但它已发布了一个否认远程的微密码攻击...
一、样本简介近期,国外某安全论坛公布了一款类似Globelmposter的新型勒索病毒,此勒索病毒的某些行为与Globelmposter类似,因联系邮箱中带有x_mister而被命名为X_Mister…
一、概述正在公测的火绒5.0新版初显威力,在用户的试用过程中,顺利完成了对一种常见黑客攻击的防御,不光及时感知、拦截了黑客攻击,还通过“火绒威胁情报系统”完整解析出整个攻击流程,进而实现对该种攻击的多…
为全面贯彻落实习近平总书记关于网络强国的重要思想,由中央网信办网络安全协调局指导,教育部网络空间安全专业教学指导委员会支持,河南省互联网信息办公室、郑州市人民政府、信息工程大学共同主办的第三届“强网杯…
1. 前言云安全的发展,随着云技术本身的发展,经历了比较长的时间进行持续的演进。从最早AWS建设出来的安全产品体系开始,到后来的Aliyun的创新以及基于中国特色社会主义环境衍生出来的业务安全和服务的…
近期,阿里云安全团队观察到数十起大规模的应用层资源耗尽式DDoS攻击(应用层CC攻击)。阿里云DDoS高防实现智能防护全程自动化检测并清洗,未对用户侧业务产生任何影响,这类攻击存在一些共同的特征,阿里…
前言1.1 碎碎念这篇文章是我乱七八糟的想法,实践,扯淡,别人那看到的,听来的等等玩意堆积起来的结果。理论的理论说,所有试图大一统的理论最终都变成了分类,而我努力一下让这篇文章看起来不那么像分类,虽然…
大家好,今天的共享写入是关于客户支持的IDOR漏洞(不安全的直接对象引用),这可能导致目标系统的访问控制功能失败并在客户支持平台内实现任何消息。阅读和发送,您还可以为任何用户下载相关文...
世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理…
如何编写安全代码?保护自己免受注入攻击!我已经在这个问题上工作了好几个月,试图理解是什么让代码变得脆弱,现在,我收到了这个简单的答案 - 糟糕的编程习惯。现在这看起来很明显,但编程…