Aggregator

《Web安全攻防从入门到精通》送书活动来啦🎈 🎈 ☀️ 公众号粉丝回复“抽奖”即可参与并有机会获得🎁 《Web安全攻防从入门到精通》书籍一本，没有中奖的小伙伴也不要灰心，当当带着满100减50活动来了，请点击以下链接进行购买，http://product.dangdang.com/29460729.html，活动时间截止11.21

2 years 9 months ago

Akamai?s Perspective on November?s Patch Tuesday

The Akamai Blog

2 years 9 months ago

Every Patch Tuesday stirs up the community. See Akamai's November insights and recommendations on what to focus on, and patch, patch, patch!

Akamai Security Intelligence Group

Tackle Your Cloud Challenges, One Scenario at a Time

The Akamai Blog

2 years 9 months ago

Forrester?s quick start cards cover 18 common issues with cloud migrations and operations, and suggest actions to mitigate each one.

Pavel Despot

【2倍奖励】嘎嘎丰厚，新老白帽你冲不冲？

中通安全应急响应中心

2 years 9 months ago

不只是双倍积分奖励

The Medibank Data Breach – Steps You Can Take to Protect Yourself

Security News, Insights and Analysis | McAfee

2 years 9 months ago

Hackers have posted another batch of stolen health records on the dark web—following a breach that could potentially affect nearly...

The post The Medibank Data Breach – Steps You Can Take to Protect Yourself appeared first on McAfee Blog.

McAfee

optee学习(2) CA&TA调用流程分析

2 years 9 months ago

环境

ubuntu22.04
ADS + optee-fvp

调用流程梳理

这里直接从optee-examples中最简单的hello world入手来看的，从宏观上来看整个调用流程是 :

1
CA --> optee client --> tee driver --> ATF --> TEE --> TA

muhe

Java安全-记一次实战使用memoryshell

7bits安全团队

2 years 9 months ago

本文是实战中遇到的一个技术点。很多时候我们使用内存马都是反序列化漏洞利用后一条龙直接植入。但有时候我们也会遇到命令拼接等问题获取到的权限，此时仅仅有命令执行而非代码执行的权限。常规的jsp马、cc等手段均无法作为后门，我们该怎么办？

Java安全-记一次实战使用memoryshell

7bits安全团队

2 years 9 months ago

本文是实战中遇到的一个技术点。很多时候我们使用内存马都是反序列化漏洞利用后一条龙直接植入。但有时候我们也会遇到命令拼接等问题获取到的权限，此时仅仅有命令执行而非代码执行的权限。常规的jsp马、cc等手段均无法作为后门，我们该怎么办？

浅谈XXE防御(Java)

2 years 9 months ago

浅谈XXE防御(Java)

2 years 9 months ago

浅谈XXE防御(Java)

2 years 9 months ago

浅谈XXE防御(Java)

2 years 9 months ago

浅谈XXE防御(Java)

2 years 9 months ago

Java安全-记一次实战使用memoryshell

7bits安全团队

2 years 9 months ago

本文是实战中遇到的一个技术点。很多时候我们使用内存马都是反序列化漏洞利用后一条龙直接植入。但有时候我们也会遇到命令拼接等问题获取到的权限，此时仅仅有命令执行而非代码执行的权限。常规的jsp马、cc等手段均无法作为后门，我们该怎么办？

Android 组件逻辑漏洞漫谈

有价值炮灰

2 years 9 months ago

对一些 Android 逻辑漏洞的梳理。

Android Native Fuzz Demo

2 years 9 months ago

Background

TrapFuzz的思路Fuzzing Android native库，这就是个简单的Demo，只针对黑盒的库。

muhe

ByteCTF2021 chatroom writeup

2 years 9 months ago

前言

在今年的ByteCTF中，我出了一道pwn题目，距离上一次打比赛/出题已经过去很久了，所以传统的 heap trick 就没有考虑，而是从我日常工作中挖掘的安全风险入手，简化场景，出了一道 chatroom ，看起来像一个web的奇怪题目。

muhe

HW OTA unpack

2 years 9 months ago

步骤unzip解开OTA包

muhe

MTK Preloader 踩坑

2 years 9 months ago

背景

MT6737T
Android

muhe

Paper read <<The Convergence of Source Code and Binary Vulnerability Discovery – A Case Study>>

2 years 9 months ago

Background

最近阅读了一篇论文<<The Convergence of Source Code and Binary Vulnerability Discovery – A Case Study>>，很巧合的是论文的研究中，关于将SAST工具应用于二进制文件(通过decompiler)，即获取伪代码之后，在伪代码上跑SAST工具来找漏洞这个模式我和@C0ss4ck一起做过，在我们收到一些成效之后发现也有人做了类似的工作，不过他好像没有特别深入 :D

muhe