6月24日,中国信息通信研究院主办的首届“业务与应用安全发展论坛”在线上顺利举办。会上,天翼云Web应用防火墙(边缘云版)通过可信安全评估,成为首批获得2022“可信业务与应用安全”荣誉的企业。作为业内安全云服务商,天翼云加大安全防护体系建设、提升平台安全合规性,截至目前已获得CSA-STAR、ISO27001、ISO27040等多项安全认证。网络安全问题一直是互联网发展中的热点问题。近年来云计算产业快速发展,不少企业将业务部署到云端,业务数据、信息被存储到云上,这些对于企业而言是智慧的成果,更是核心资产,一旦发生泄露将带来不可估量的损失,因此做好网络安全防护已成为企业的共识。
攻防演练中,为了防住红队攻击,蓝队一般会拼尽全力武装到牙齿,不给对方留下任何可乘之机。在这个过程中,有个非常重要但是难以解决的问题:如何发现日益强大且高度定制化的Webshell?作为防守方,你对下面几个场景一定不陌生:1、如何准确检测私有定制或高度混淆的Webshell?经过几年攻防演练的锤炼,红队为了避免Webshell被发现,通常会采用自研的定制化Webshell和高度加密混淆Webshell样本进行传统安全设备绕过和攻击。而这类Webshell没有公开的特征,蓝队只能依靠静态分析,很难发现是否存在Webshell攻击。
近日,IDC《中国Web应用防火墙(软件)市场份额,2021:云计算带动成熟产品的升级演变》报告正式发布,针对2021年中国软件Web应用防火墙市场的规模、厂商份额以及技术发展变化等内容进行了详细研究。2021年中国软件WAF市场规模超过1.9亿美元,同比增长38.6%。瑞数信息凭借多元灵活的WAF形态和Bot防护方向的突出能力,获得优异市场表现,在2021中国软件Web应用防火墙产品厂商份额中名列Top5,年市场增速达到204%。
此文章所有内容均收集于互联网,不针对某家安全厂商,仅作技术交流,请勿用于非法攻击和渗透。
360天擎SQL注入漏洞
描述
fofa title="360新天擎"
0x00 漏洞概述
XStream是一个Java对象和XML相互转换的工具,在将JavaBean序列化、或将XML文件反序列化时,它不需要其它辅助类和映射文件,这使得XML序列化不再繁琐。
XStream的使用也比较广泛,像Jenkins使用的就是XStream,实战演练的时候该漏洞可以发挥很好的攻击效果,如何识别和判断应用系统是否使用和引入了XStream呢?跟jackson和fastjson等反序列化组件一样,看post提交的内容,是以XML形式提交的。
根据US-CERT的最新报告,2020年NVD漏洞数据库记录了17447个漏洞,这也是安全漏洞数量连续第四年创下新高。在US-CERT2020年报告的漏洞中,包括4168个高严重性漏洞、10710个中等严重性漏洞和2569个低严重性漏洞。在2019年的报告中,总共记录了17306个漏洞,其中包括4337个高严重度漏洞、10956个中等严重度漏洞和2013个低严重度漏洞。专家认为漏洞数量的连年增长有两大原因:开发人员源源不断“推送”bug,以及白帽子黑客越来越擅长发现漏洞。今年,众包安全有了巨大的增长。根据安全公司Bugcrowd的最新报告,在过去12个月中,与去年相比,漏洞提交量增加了50%。
发布时间:
2020-12-18 17:09 |
阅读:89756 | 评论:0 |
标签:
WEB安全 漏洞安全 漏洞
一、漏洞分析
1.1 通达OA介绍
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。
通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。该系统采用领先的B/S(浏览器/服务器)操作方式,使得网络办公不受地域限。通达OfficeAnywhere采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。
一、漏洞分析
1.1 Apache Shiro组件介绍
ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。
1 Apache Dubbo组件介绍
ApacheDubbo是一款高性能、轻量级的开源javaRpc分布式服务框架。核心功能有面向接口的远程过程调用、集群容错和负载均衡、服务自动注册与发现。其特点主要在以下几个方面。使用分层的架构模式,使得各个层次之间实现最大限度的解耦。将服务抽象为服务提供者与服务消费者两个角色
2 漏洞描述
ApacheDubboHessian2协议处理模块中存在一个反序列化漏洞,该漏洞中Hessian2反序列化HashMap对象时,该类中的一些函数在经过一系列调用时可以进行代码执行。
MySQL注入原理SQL,叫做结构化的查询语言,所谓的SQL注入,就是把SQL命令插入到web表单提交或输入域名页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它就是利用现有程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。一、SQL注入的危害1、 数据库信息泄露:数据库中存放用户的信息隐私数据的泄露。2、 服务器被人远程控制,被安装后门。
发布时间:
2020-08-17 03:12 |
阅读:209156 | 评论:0 |
标签:
Web安全 注入 渗透 SQL
最近做ctf时遇到一个模板注入的题,才想到以前都是直接在网上找payload,并没有仔细研究过ssti。本文从几个方面来细说ssti并应用实例来加深理解。一.什么是服务器端模板注入?服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效负载注入模板中,然后在服务器端执行该模板。模板引擎旨在通过将固定模板与易失性数据结合来生成网页。当用户输入直接连接到模板而不是作为数据传递时,可能会发生服务器端模板注入攻击。这使攻击者可以注入任意模板指令以操纵模板引擎,从而经常使攻击者能够完全控制服务器。顾名思义,服务器端模板注入有效负载是在服务器端交付和评估的,这可能使它们比典型的客户端模板注入更加危险。
发布时间:
2020-08-16 19:29 |
阅读:186063 | 评论:0 |
标签:
web安全 SSTI 注入
上篇文章讲到了一句话木马和中国菜刀,以及如何利用中国菜刀通过上传到目标主机的一句话木马来获取目标主机的管理权限,也知道了一句话木马作为Webshell的一种,代码十分少,便于操作,但是功能却十分强大,尤其是配合中国菜刀的使用时,因此一句话木马也受到了各大安全软件的特别关注,使得其很容易被各种软件检测出来,为了增强其隐蔽性,出现了各种一句话木马的变形,今天我们就来讲一讲几种一句话木马的变形。一句话木马的一般形式:或者变形一: 改进的地方:一般的安全软件可能会将eval+GET或POST判定为后门程序,因此这种变形将eval和GET或者POST分开,能够绕过这种情况。
发布时间:
2020-08-14 03:12 |
阅读:144482 | 评论:0 |
标签:
Web安全 渗透
什么是Windows SDK?
SDK即Software Develope Kit(软件开发工具包),它包含了进行Windows软件开发的文档和API函数的输入库、头文件(因为API在动态链接库中,这些动态链接库是系统的组成部分,因此不用再提供,而输入库和头文件则必须,这样才能在你的程序中使用API函数)。
早期SDK是一个单独发放的包,现在在Visual C++和其他一些开发环境中已经包含了它,如果你已经安装了VC++,那么就可以开始编写Windows程序了。
一、漏洞概要
Oracle官方在2020年7月份发布的最新安全补丁中披露此漏洞。该漏洞允许未经身份验证的攻击者通过IIOP,T3进行网络访问,未经身份验证的攻击者成功利用此漏洞可能接管Oracle WebLogic Server。CVSS评分9.8。
二、漏洞分析
2.1 WebLogic组件介绍
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
研究人员发现一起将同形字攻击用于钓鱼攻击活动和Magecart攻击的案例。
同形字攻击的思想非常简单,就是使用看起来相似的字符来替换原来的字符。有时候,不同语言设置的字方或简单的大写i和小写的L也非常相似。攻击者在多个域名上使用该技术来加载Inter skimming套件而不是favicon文件。
攻击活动发现
研究人员通过以下方式来收集网络上的web威胁信息:爬取在线网站信息来找出信息,或使用VirusTotal这样的工具来找出信息。
在上传到VirusTotal的文件中触发检测Inter skimming套件的YARA规则如下所示。
Apache SkyWalking组件介绍
SkyWalking是观察性分析平台和应用性能管理系统。提供分布式追踪、服务网格遥测分析、度量聚合和可视化一体化解决方案。支持Java, .Net Core,PHP, NodeJS, Golang, LUA语言探针。支持Envoy + Istio构建的ServiceMesh。其具有多种监控手段、语言探针和servicemesh;轻量高效不需要大数据;模块化设计,UI、存储、集群管理多种机制可选;六种语言自动探针;支持告警;提供优秀的可视化方案的特性,在国内互联网、银行、民航等领域有极其广泛的应用。
本周一在2020黑帽大会上,Checkmarx安全研究人员曝光了流行线下聚会应用Meetup的两个高风险漏洞,第一个漏洞使得攻击者可以轻松地接管任何Meetup群组,访问所有群组功能和资产,第二个漏洞则让攻击者可以重定向所有Meetup付款/金融交易到他们的PayPal账户(一些Meetup聚会活动是免费的,但有些则不是)。
本文是 i 春秋论坛作家「dll_s」表哥原创的Burpsuite练兵场系列文章,公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。
上期回顾
「Burpsuite练兵场」Portswigger Web Security Academy介绍
多因素身份验证漏洞
相较于常见的单因素如账号密码登录模式,使用双因素验证登录似乎更为安全,但由于其受攻击面的拓展,程序员自身考虑不周所造成的任何一种糟糕实现,往往会增加新的安全问题,容易出现的问题就是在第二次验证时并不确认用户是否已经通过初次验证,光听原理可能感觉比较枯燥,还是通过实验来感受多因素身份验证会存在怎样的漏洞。
Burpsuite练兵场系列文章更新啦,今天的内容是延续上期关于验证机制漏洞的讲解,对实验感兴趣的小伙伴千万别错过了呦!
身份验证机制中的其他一些漏洞
这一次的实验仍然聚焦于身份验证机制。可以发现,一个看似简单的功能背后其实存在许多可以利用的点,我们在实际的漏洞挖掘中也要充分考虑各种业务逻辑中会出现的问题,寻找可能存在的突破口。
实验一:“记住我”功能cookie爆破
如果没有提示的话,常见的方式一般为直接在登录功能处进行爆破,我们也可以使用Repeater功能查看Web应用是否对此进行了限制,可以发现确实遭到了限制。
作者:LoRexxar@知道创宇404实验室时间:2020年01月17日英文版本: https://paper.seebug.org/1116/系列文章:1.《从 0 开始入门 Chrome Ext 安全(一) -- 了解一
Portswigger是著名神器Burpsuite的官方网站,实际上也是一个非常好的漏洞训练平台,但在国内信安圈却鲜有提及,因此从今天开始i春秋论坛作家「dll_s」表哥将对其进行全面系统的介绍。
官网链接:https://portswigger.net/web-security
以下简称该平台为Burpsuite学院。
为什么称它为Burpsuite学院呢?因为其训练内容非常侧重于对Burpsuite各项功能的深入挖掘,这本身和创建该平台的初衷也是分不开的。另外,其实这也是《黑客攻防技术宝典Web实战篇》的实战训练平台,配合使用学习效果更佳。
国家网络安全主管部门为落实全国网络安全和信息化工作会议精神而发起了长期专项行动,旨在检验各单位信息基础设施和重点网站网络安全的综合防御能力和水平,实战验证相关单位“监测发现、安全防护和应急处置”的能力,发现并整改网络系统存在的深层次安全问题,进一步以防攻击、防破坏、防泄密、防重大故障为重点,构建多层次多渠道合作、各单位各行业和全民共同参与、众人受益的“钢铁城墙”。
hw行动分攻击和防守两个队伍,一般叫红队和蓝队,攻击方的目标是拿下DNS服务器、OA系统服务器、工控系统服务器等的控制权。
以下书籍排名不分先后,整理来自朋友推荐和网络评分筛选,都是大家看过后的真实书评反馈,希望能给你一些参考,当然入门信息安全也有视频、文档、资料等更多方式可以选择,看个人喜好,除了推荐的这27本书籍,我还附赠了我本地整理的一些电子书资源,大概100个+,网盘链接在文后会附上。
今天的文章是i春秋论坛作家「HAI_」表哥关于HackTheBox-October的通关分享,文章整体难度适中,基本思路就是通用漏洞打进去,然后bof提权,同时他也会对文中的HTB做一些思路总结。
0x01 信息收集
先简单的扫一下,然后再针对扫出来的端口进行详细扫,主要原因是因为HTB网络的问题。
nmap 10.10.10.16
这里通过详细扫可以看到80用的是October CMS,在下图中已经标出。
这是 酒仙桥六号部队 的第 5 篇文章。
全文共计2738个字,预计阅读时长8分钟。
前言
随着互联网信息快速发展,办公已经离不开网络的支持。邮箱成为了人们常用的办公方式之一。
本文主要从信息收集为第一步前提情况下,逐渐延伸到邮件钓鱼方向上,分别有:信息刺探、信息验证、邮箱定位、内容伪造、文件伪造等多个方面展开介绍。
在渗透测试过程当中,使用邮箱打点的方式来进行战场"土工作业"方式一点点掘进到对方内部当中也是常见的一种方式。
这一步是渗透测试重要的一步,在系统无漏洞或无任何头绪的情况下尝试该动作的概率较大。
大家对于信息安全或网络安全比较熟悉的词应该就是“黑客”了吧,事实上从事网络安全的人在技能上确实让你说一句“我擦,这也可以”。信息安全领域的内容比较杂,很多大学是信息安全专业的同学发现毕业时好像什么也没学到,又有一些非信息安全专业却此次很有兴趣想要自学的,该如何走好第一步,或者要经过几步才能真正入坑?
学习·理论
首先肯定要学一些技术方法论了,这个阶段就是入门,C、C++、汇编都是基础中的基础,还有例如软件逆向以及软件调试等初级知识需要掌握,有了这些打底之后,才能深入操作系统内核去了解些操作系统的真正原理。
Tala Security今天发布的一份web安全报告显示,全球Web安全状况急剧恶化,99%的网站JavaScript插件面临攻击风险。该报告跟踪了Alexa前1000名网站的安全状况,发现平均每个网站包含来自32个不同的第三方的JavaScript程序,比2019年略有增加。而诸如Google Analytics(分析)和其他插件之类的第三方程序会将网站暴露于Magecart、formjacking、跨站脚本、信用卡劫持和其他攻击。这类攻击利用了在全球约99%的网站上运行的易受攻击的JavaScript组件。
前言
前不久传的沸沸扬扬的FastJson反序列化漏洞,相信有不少企业都中招了,当然我司也未能幸免,基于次漏洞更具官方给的补漏措施,已完全可以避免在这不再阐述。本文就拿它从一个简单的FastJson 漏洞开始,搭建漏洞环境,分析漏洞成因,使用条件等。从入门者的角度看懂并复现漏洞触发,拥有属于自己的一套漏洞调试环境。
背景
fuzz绕过、手注、盲打等等被waf拦截,每个男孩都想拥有一个匿名且延迟优质的代理池......
研究
那么从经济、匿名性和IP资源量、访问延迟等考虑,好像只能有CDN成为我这个懒人的首要选择。可惜CDN接入需要验证DNS...结合Domain Fronting中的想法。AWS的CloudFront成为了首选。
测试
1. 新增Web内容分发
2. 指定目标站点,参数默认。源协议策略视源站访问协议而定,或者匹配查看器。