• 沉浸阅读
  • 公众号
  • 作者库
  • 文档
  • 周报
  • 高级搜索
  • 更多功能

    2021年 第51周 微信公众号精选安全技术文章总览

    洞见网安 2021-12-20

    0x1 文件上传总结

    天策安全技术联盟 2021-12-24T19:29:22 Koi

    Example Image


    文章详细总结了文件上传漏洞的原理、危害、利用前提和流程。指出网站上传功能若未严格校验文件类型,可导致上传可执行脚本文件,从而执行服务器命令。介绍了webshell的概念及其上传目的,并列举了常见的上传点。文章详细说明了文件上传漏洞的利用流程,包括绕过文件类型检测、MIME类型检测、htaccess和user.ini文件利用、文件头检测等。同时,分类讨论了轻量级检测绕过方法和不同类型的文件上传漏洞,如黑名单和白名单绕过。最后,提供了制作图片马的方法和推荐的练习平台,并通过实际案例演示了如何利用文件上传漏洞获取服务器控制权。

    Web安全 文件上传漏洞 WebShell 渗透测试 安全防御 CTF竞赛

    0x2 文件上传总结

    YKCC安全 2021-12-24T19:00:00 Koi

    Example Image


    0x00文件上传的原理以及危害:网站web应用程序都有一些文件上传功能,比如文档、图片、头像、视频上传,当上

    0x3 NotLegit:微软Azure App服务漏洞暴露用户源代码

    信息安全最新论文技术交流 2021-12-24T13:48:00

    Example Image


    微软Azure App服务漏洞存在长达4年,暴露大量用户源代码。

    0x4 新的Log4J漏洞可触发DoS漏洞

    天津恒御科技有限公司 2021-12-24T08:00:00

    Example Image


    它们确实有相似之处。这个新的漏洞影响到了与Log4Shell漏洞相同的组件。Log4Shell被追踪为CVE-2021-44228,而新的漏洞被追踪为CVE-2021-45105,都是攻击者滥用日志数据查找进行攻击。

    0x5 验证码安全

    无糖可乐加冰块儿 2021-12-23T21:17:56 © 无糖可乐加冰块儿

    Example Image


    验证码安全介绍以及分类「验证码的作用」

    验证码安全 恶意行为防护 验证码分类 验证码安全措施 验证码绕过防范 验证码服务端验证 验证码识别攻击

    0x6 新的Log4J漏洞可触发DoS漏洞

    金瀚信安 2021-12-23T17:57:33 信息安全服务商

    Example Image


    周五,Apache官方发布了一个2.17版补丁,也是针对log4j日志库的一个漏洞进行修补,而这次是针对一个

    0x7 新的Log4Shell攻击载体将会威胁本地主机的安全

    天津恒御科技有限公司 2021-12-23T08:00:00

    Example Image


    本周末,网络安全领域发现Log4j漏洞的新攻击载体,该载体通过JavaScript WebSocket连接在本地服务器上触发远程代码执行(RCE)漏洞。这一发现打破了Log4Shell攻击仅限于暴露网络服务器的认知,意味着任何使用有漏洞Log4j版本的用户都可能遭受攻击,即使服务运行于localhost。攻击者可通过WebSocket向localhost或本地网络服务器发出恶意请求,无需目标暴露于互联网。Blumira公司的研究人员详细分析了攻击过程,包括通过WebSocket连接触发漏洞、连接到易受攻击的服务器,并执行恶意代码。检测这种攻击较为困难,但研究人员提供了检测方法和防御建议,包括更新Log4j版本、使用扫描脚本检测漏洞,以及采取流量出口过滤等措施。

    0x8 Apache HTTP Server多个漏洞风险提示

    安恒信息CERT 2021-12-22T21:34:01 ©

    Example Image


    近日,Apache HTTP Server发布了新版本,修复了多个安全漏洞。其中包括CVE-2021-44224,该漏洞可能引发拒绝服务或服务端请求伪造风险;CVE-2021-44790,是一个缓冲区溢出漏洞。受影响的版本为Apache HTTP Server <= 2.4.51。通过安恒SUMAP平台统计,全球范围内有大量部署的Apache HTTP Server。CVE-2021-44224允许攻击者通过构造恶意HTTP请求导致服务器崩溃或访问内部网络,而CVE-2021-44790则可能被用于在服务器上执行任意代码。目前,官方已发布安全更新,建议用户尽快升级至最新安全版本2.4.52。由于漏洞POC暂未公开,目前无法确定具体的攻击途径,但建议用户及时采取缓解措施。

    Apache HTTP Server 漏洞 安全更新 拒绝服务攻击(DoS) 服务端请求伪造(SSRF) 缓冲区溢出 漏洞修复 网络安全

    0x9 某A系电商App doCommandNative浅析

    奋飞安全 2021-12-22T14:48:12 ©

    Example Image


    本文详细记录了对一款名为x-sign的APK的逆向分析过程。分析者首先通过堆栈信息定位到Native层的入口函数doCommandNative,该函数位于libsgmainso-6.5.49.so库中。为了更好地理解该函数的调用过程,分析者使用了Frida进行动态追踪和Hook。通过Hook技术,分析者成功拦截了doCommandNative函数的调用,并打印出其参数和返回值。在分析过程中,遇到了动态注册函数和BR X11动态跳转等难题,但通过修改指令和修复ida的F5功能,最终解决了这些问题。文章还介绍了如何使用Java反射来处理Object[]类型的参数,并强调了熟练掌握Java反射和ida F5修复技巧在逆向分析中的重要性。最后,文章提醒读者本文仅供学习交流,不应用于非法商业活动。

    逆向工程 Android安全 Frida框架 IDA Pro 安全测试 安全防护 Java反射 SO文件分析

    0xa Java RMI 反序列化漏洞-远程命令执行

    仙网攻城狮 2021-12-22T10:01:30 © 太白

    Example Image


    点击\x26quot;仙网攻城狮”关注我们哦~

    0xb ZooKeeper 未授权访问漏洞利用

    仙网攻城狮 2021-12-21T10:32:39 © 太白

    Example Image


    点击\x26quot;仙网攻城狮”关注我们哦~

    漏洞利用 分布式系统安全 未授权访问 ACL配置 端口扫描 敏感信息泄露

    0xc MongoDB 未授权访问漏洞利用

    仙网攻城狮 2021-12-20T16:24:31 © 太白

    Example Image


    点击\x26quot;仙网攻城狮”关注我们哦~

    0xd 访问控制列表ACL详解和配置案例,建议收藏!

    网络技术联盟站 2021-12-20T09:00:00 瑞哥

    Example Image


    很详细!

    访问控制 网络策略 路由安全 VPN安全 防火墙策略 配置管理

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。