案例一 发现点 在找资产的过程中找到了一个业务，发现一个可以上传的功能点。有个添加货物功能，里面有个图片上传，是上传到桶里的。 请求中隐去无关参数，关键参数是good_image，里面是一个key（图…

2022年06月10日，由安世加主办的“EISS-2022企业信息安全峰会之北京站”在线上成功举办。本次峰会是EISS北京站的连续第五届，也是EISS系列峰会的第十四届。峰会以”直面信息安全挑战，创造…

EISS-2022企业信息安全峰会之北京站确定于2022年06月10日（周五）在线上举办。本次峰会是EISS北京站的连续第五届，也是EISS系列峰会的第十四届。 峰会将在上午设立一个主会场，下午设立三…

一、漏洞概况 Fastjson 1.2.80 反序列化漏洞情报，攻击者可以在特定条件下可绕过默认 autoType 关闭限制，从而反序列化有安全风险的类，攻击者利用该漏洞可实现在目标机器上的远程代码执…

Docker 利用特权模式逃逸并拿下主机 在溯源反制过程中，会经常遇到一些有趣的玩法，这里给大家分享一种Docker在特权模式下逃逸，并拿下主机权限的玩法。 前言 在一次溯源反制过程中，发现了一个主机…

未授权访问查看管理员账号密码 目标是个网关系统，使用弱口令进入系统后，开始测试功能点，在系统用户处测试抓包： 删除cookie后发现仍然可以访问管理员相关信息包括密码、手机号码等： 浏览器直接访问，然…

Conti是一个勒索软件团伙，预计收入接近 2 亿美元，被认为是世界上最成功的勒索软件团伙之一。同时Conti也是近年来最为活跃和危险的勒索软件团伙之一。该组织采用勒索软件即服务 (RaaS) 的运营…

一、云安全背景 从上图Gartner的2022年CIO技术执行官问卷调查结果显示：2022年有52%的企业会增加云投入，相对来说有32%的企业会减少传统基础架构和数据中心的投入。在网络和信息安全方面有…

Akamai 研究人员监测并分析了整个亚太地区 2021 年底至 2022 年初这些节假日中的恶意僵尸网络（由数百万爬虫程序组成的群），目的是为了研究底层僵尸网络的攻击数据。通过揭示这些攻击趋势，IT…

互联网软件盗版是一种几乎无法控制的犯罪。但是，随着盗版技术的提升变得更加隐蔽和多样化，这种情况正在上升。目前数字盗版打击难度愈加增大，内容原创公司和盗版者打起旷日持久的“游击战”。体系化、规模化的利益…