Aggregator

0x00 前言 最近在学习java的相关漏洞，所以Struts2的漏洞自然是绕不开的。为了更好的理解漏洞原理，计划把Struts2所有的漏洞自己都做一个复现。并且自己去实现相关的POC。相关的环境搭建，以及POC实现细节，参考文章我都会尽可能的写清楚。方便自己记录学习过程的同时，方便看文章的人学习。

With Mirai rearing its ugly head again, we’re revealing its C&C hostnames so organizations can update their denylists and protect themselves.

A new Python-based botnet that mines Monero spreads via SSH and leverages Pastebin to publish new C&C server addresses.

The safest way to run a network is to assume it’s going to breached, but that also means minimizing your liability and ensuring the executive team is fully aware of what is going on.

又是一年 …

我们实验室于近期推出了一个工控安全资讯搜集与分享工具（https://cert.plcscan.org），长久…

有续篇还是没续篇，这是一个问题。

Most security researchers have good intentions, but ethics must play a central role in the decisions they make.

今年是书单汇总的第五年，看得书不多，玩的游戏看的番

今年是书单汇总的第五年，看得书不多，玩的游戏看的番

Bleichenbacher attacks will likely continue to pop up until TLS 1.3 is fully adopted, which could take years.

这个漏洞本是2014年时候被人发现的，本着学习的目的，我来做个详细的分析。漏洞虽然很早了，新版的Drupal甚至已经改变了框架的组织方式。但是丝毫不影响对于漏洞的分析。这是一个经典的使用PDO，但是处理不当，导致SQL语句拼接从而导致注入的问题。从这个问题，以及以往我见过的很多的漏洞来看，我不得不说

In Part 5 of this blog series, we use inversion modeling techniques to develop a high-level protection strategy.

基本概念 入侵： 绕过系统安全机制的非授权行为。危害计

基本概念 入侵： 绕过系统安全机制的非授权行为。危害计

访问控制概述 访问控制是通过某种途径显式地准许或限制

访问控制概述 访问控制是通过某种途径显式地准许或限制

身份认证概述 定义： 身份认证是证实主体的真实身份与其