2022年12月28日第二届全球DevSecOps敏捷安全大会(DSO 2022)通过全球直播的形式圆满举行。本届大会以“共生·敏捷·进化”为主题,以“敏捷共生,守护中国软件供应链安全”为使命,立足……
禅道项目管理系统远程命令执行漏洞
0x01 漏洞介绍 禅道项目管理系统远程命令执行漏洞,禅道是第一款国产的开源项目管理软件,它的核心管理思想基于敏捷方法 scrum,内置了产品管理和项目管理,同时又根据国内研发现状……
K8S后渗透横向节点与持久化隐蔽方式探索
前言 通常在红蓝对抗中,我们可能会通过各种方法如弱口令、sql注入、web应用漏洞导致的RCE等方法获得服务器的权限;在当前云原生迅猛发展的时代,这台服务器很可能是一个容器,在后……
技术干货 | 甲方利用开源工具进行钓鱼演练
演练前准备工作✦ 钓鱼演练需求背景 “ 目前肉眼可见的甲方两大安全工作KPI,一类是政策合规数据合规,第二类是应对各种大型攻防演练检测。在攻防演练中大家……
Linux 应急响应的详细笔记
0x00 前言 最近发现Linux出现问题的频率越来越大,相比于前些年来说,Windows服务器出现的问题已经很少见了,一个原因是现在大多数企业意识到Linux相对于Windows来说更加安全、更……
Spring Boot Admin 代码注入漏洞 (CVE-2022-46166)
漏洞描述 近日,监测到Spring Boot发布安全公告,修复了一个存在于Spring Boot Admin中的安全漏洞,该漏洞是由于Spr…
从 XSS 到 RCE 的几个开源案例
XSS 也就是大家常说的跨站脚本攻击,利用该漏洞可以执行任意 JavaScript 脚本,RCE 也就是远程名称执行,可以执行任意系统命令。那么如何通过 XSS 漏洞升级到 RCE 漏洞呢?今天分享……