案例一 发现点 在找资产的过程中找到了一个业务,发现一个可以上传的功能点。有个添加货物功能,里面有个图片上传,是上传到桶里的。 请求中隐去无关参数,关键参数是good_image,里面是一个key(图…
简介 大型软件系统生命周期的绝大部分都处于“使用”阶段,而非“设计”或“实现”阶段。那么为什么我们却总是认为软件工程应该首要关注设计和实现呢?在《SRE:Google运维解密》中,Google SRE…
2022年06月10日,由安世加主办的“EISS-2022企业信息安全峰会之北京站”在线上成功举办。本次峰会是EISS北京站的连续第五届,也是EISS系列峰会的第十四届。峰会以”直面信息安全挑战,创造…
日前,中国网络安全领域的专业媒体和旗舰智库安全牛在3月推出的《中国网络安全行业全景图(第九版)》基础上再次刷新,神州数码凭借在数据安全、网络安全领域卓越的技术及产品、服务能力,入选全景图数据脱敏、数据…
EISS-2022企业信息安全峰会之北京站确定于2022年06月10日(周五)在线上举办。本次峰会是EISS北京站的连续第五届,也是EISS系列峰会的第十四届。 峰会将在上午设立一个主会场,下午设立三…
一、漏洞概况 Fastjson 1.2.80 反序列化漏洞情报,攻击者可以在特定条件下可绕过默认 autoType 关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执…
近日,神州数码数据库审计系统V1.0成功获得公安部销售许可证,这是云业务集团数据安全团队的数据库审计系统在继获得公安部数据库安全审计类检验报告后的最新进展,也是继数据静态脱敏、数据动态脱敏、TDMP数…
Docker 利用特权模式逃逸并拿下主机 在溯源反制过程中,会经常遇到一些有趣的玩法,这里给大家分享一种Docker在特权模式下逃逸,并拿下主机权限的玩法。 前言 在一次溯源反制过程中,发现了一个主机…
未授权访问查看管理员账号密码 目标是个网关系统,使用弱口令进入系统后,开始测试功能点,在系统用户处测试抓包: 删除cookie后发现仍然可以访问管理员相关信息包括密码、手机号码等: 浏览器直接访问,然…
Conti是一个勒索软件团伙,预计收入接近 2 亿美元,被认为是世界上最成功的勒索软件团伙之一。同时Conti也是近年来最为活跃和危险的勒索软件团伙之一。该组织采用勒索软件即服务 (RaaS) 的运营…

RadeBit瑞安全

RadeBit瑞安全