木讷

摘要： 前言： OWASP API 安全项目是第一次发布，在查找OWASP API TOP 10相关解读资料的时候，发现中文资料比较少，但是API在万物云化的今天越来越重要，因此考虑自己写点东西以加深自己的理解。 API全称为Application programming interface，意为应用程序编 阅读全文

摘要： ATT&CK模型 ATT&CK是分析攻击者行为（即TTPs）的威胁分析框架。ATT&CK框架核心就是以矩阵形式展现的TTPs，即Tactics, Techniques and Procedures（战术、技术及步骤），是指攻击者从踩点到获取数据以及这一过程中的每一步是“如何”完成任务的。 ATT&C 阅读全文

摘要： CVE-2019-13272 发布时间： 2019月7月17日 影响内核版本： Linux Kernel < 5.1.17 漏洞描述： 译文 kernel 5.1.17之前版本中存在安全漏洞，该漏洞源于kernel/ptrace.c文件的ptrace_link没有正确处理对凭证的记录。攻击者可利用该 阅读全文

摘要： 前言： 序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。 Java中的ObjectOutputStream类的writeObject()方法可以实现序列化，ObjectInputStream类的readObject()方法用于反序列化。 问题的根源 阅读全文

摘要： 通过主从复制 GetShell Redis主从复制 Redis是一个使用ANSI C编写的开源、支持网络、基于内存、可选持久性的键值对存储数据库。但如果当把数据存储在单个Redis的实例中，当读写体量比较大的时候，服务端就很难承受。为了应对这种情况，Redis就提供了主从模式，主从模式就是指使用一个 阅读全文

摘要： SSHD_CONFIG(5) OpenBSD Programmer's Manual SSHD_CONFIG(5)名称 sshd_config - OpenSSH SSH 服务器守护进程配置文件大纲 /etc/ssh/sshd_config描述 sshd(8) 默认从 /etc/ssh/sshd_c 阅读全文

摘要： 国庆70周年，护网比去年来得更猛烈了。 近期安全圈最为火热的话题莫过于此。朋友圈各种招人。客观来看，护网对安全市场有着不小的促进作用，各类企业在安全建设方面的投入也会持续增加。有消费才能拉动经济嘛，安全从业者的就业市场也会进一步拓宽。对于圈内的人而言，好处多多。不过这段时间确实辛苦，正式护网还没开始 阅读全文

摘要： 本来想试试打补丁，但是有些麻烦，而且oracle补丁黑名单的方式总不让人放心。 因此考虑直接删除相关的包。 该方式适用于xmldecoder漏洞系列，如CVE-2017-3506、CVE-2017-10271、CVE-2019-2729 步骤为： 1、停止weblogic服务。 netstat -a 阅读全文

摘要： 渗透导航： https://www.shentoushi.top/knowledge https://www.t00ls.net/navi.html 在线工具集：https://codebeautify.org https://www.uedbox.com/tools/ 勒索软件识别：https:/ 阅读全文

摘要： 本文介绍了使用半自动化工具执行SSL＆TLS安全性评估的过程，以及如何使用手动及工具的测试方法验证并发现问题。目的是优化TLS和SSL安全测试流程，帮助信息安全顾问在渗透测试时在TLS / SSL上花费更少的时间。 什么是TLS和SSL？ 安全套接层（SSL）和传输层安全（TLS）加密用于通过互联网 阅读全文