0x01漏洞状态漏洞细节漏洞POC漏洞EXP在野利用已公开已公开已公开未知0x02漏洞描述WSO2 API Manager是美国WSO2公司的一套API生命周期管理解决方案。360漏洞云监测到WSO2 API...

随着企业越发重视和加强应用程序，以及开发人员采用新的技术/流程来构建应用程序，以提高上线速度和丰富客户体验，广大企业对应用的防护需求日益增加，应用安全将成为最重要的安全...

一、概述微服务架构中，API网关充当着非常重要的一环，它不仅要负责外部所有的流量接入，同时还要在网关入口处根据不同类型请求提供流量控制、日志收集、性能分析、速率限制、熔...

近年来，云原生的概念越来越多地出现在人们的视野中，可以说云原生是云计算时代的下半场，云原生的出现是云计算不断与具体业务场景融合，与开发运营一体化碰撞的结果。谈到云原生，不...

为推动《数据安全法》进一步落地实施，2022年3月25日，由工业和信息化部网络安全产业发展中心（工业和信息化部信息中心）主办，西北工业大学北京研究院、北京星阑科技有限公司协办的...

1 API 接口介绍1.1 RPC（远程过程调用）远程过程调用（英语：Remote Procedure Call，缩写为 RPC）是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机的子程序，而...

长期以来，苹果一直以隐私保护为主要卖点，大力推荐自家的 Safari 浏览器，比如部署了防止跨站点追踪的举措和隐私报告。然而近日，该软件却曝出了处理 IndexedDB API 时的一个漏...

Swagger在API化的世界里，相信无论是前端还是后端开发，都或多或少地被接口维护折磨过。随着API迭代，老旧API文档和SDK需要更新，这是一个耗散研发精力的事情。为解决此类问题，以API...

近日，Data Theorem发布了免费的API攻击面评估工具，可帮助安全团队了解潜在的API风险暴露。此次Data Theorem发布的API攻击面评估工具对API发现没有帮助，但它为安全团队提供了一...

现在API在软件趋势（例如移动应用程序、物联网等）中扮演着越来越重要的角色，对这些 API 进行适当的自动化测试变得不可或缺。有许多不同的工具可以帮助您在API 级别编写这些自动...

API技术的出现使前端界面与后端服务器的数据交互更加便捷，因此被开发者广泛使用。伴随着API使用的指数级增长，其潜在的数据安全与个人信息泄露风险，也成为了企业亟需解决的问题...

带你走进API安全的知识海洋（一）在上期API安全知识文章中，小编对API以及API安全的定义进行了一系列的阐述，本期文章将带大家深入了解API安全的相关知识。Q1：为什么需要API安全？为什...

攻击者知道在针对API时如何避开WAF和API网关。以下是一些公司应对API攻击快速增长的示例。5月初，Pen Test Partners 安全研究员 Jan Masters 发现，他竟然能够在未经身份验证的...

Part 1什么是APIAPI（Application Programming Interface，应用程序接口）是一些预先定义的接口（如函数、HTTP接口），或指软件系统不同组成部分衔接的约定。用来提供应用程序与开发人...

当地时间5月19日上午，RSAC 2021创新沙盒大赛（RSAC Innovation Sandbox）从入围的10家企业中评选出了获胜者——Apiiro。安全开发生命周期管理公司Apiiro被评为“最具创新力的初...

全球动态1. 化学品分销巨头向DarkSide勒索软件支付440万美元化学品分销公司Brenntag向DarkSide勒索软件团伙支付了440万美元的比特币赎金，以接收用于加密文件的解密器，并防止...

整理笔记时发现之前留下的资料，抛砖引玉，分享给大家。常见注入方法OpenProcess VirtualAllocEx WriteProcessMemory CreateRemoteThreadDLL注入LoadLibrary/LoadLibraryEx Get...

一． 前言在API技术发展的大趋势下，API的使用呈现指数级增长，从2014年的26%，增长到2018年的69%，超过html流量的4倍（数据来源：《2018年互联网安全状况报告：撞库攻击》）。但API流量的安...

近几年，应用安全领域的新技术、新厂商如雨后春笋般地涌现。该领域之所以会如此快速地发展，一方面，得益于nginx及OpenResty高扩展性的设计，使得技术团队可以专注于特定安全问题，并...

GitHound GitHound可以利用模式匹配、提交历史楼所和一个独特的结果评分系统来精确定位GitHub上的公开API密钥，从本质上来说，GitHound就是一款基于批量爬取、模式...

3月19日，南方都市报在其相关文章《微博5亿用户手机号疑在暗网出售！惊动微博高层》（https://mp.weixin.qq.com/s/SrNEhLh3kNg1c_m8vvDWZQ）中，介绍了暗网出现“5.38亿微博用户绑定...

今天给大家介绍的这款工具名叫DnsFookup，这是一款功能强大的DNS重绑定工具，广大研究人员可以使用该工具来对目标DNS服务器进行安全测试。 本质上来说，DnsFookup是一...

最近Window系统爆一个严重的安全漏洞，该漏洞使CryptoAPI无法正确验证椭圆曲线（ECC）密码证书，攻击者可以用该漏洞欺骗证书信任链。微软已经在昨天发布了一个重要软件更新，修复该漏...

0x00 概述近期，国外研究员Daniel 'f0o' Preussker报告了OpenStack组件Keystone Credentials API中的一处缺陷。当Keystone 的部署配置中将enforce_scope设置为False时，list cr...

北京时间4月29日上午9点钟，第五届XCTF国际联赛分站赛——*CTF 2019国际赛宣告圆满落幕。此次赛事由复旦大学的******战队主办，赛宁网安提供技术支持，4月27日上午9点钟火爆开启，...

i春秋-核心白帽：yanzm Burp Suite是每个web安全学习者都接触过的集成平台，包含集合了多种渗透测试组件，除了强大的功能外，官方还提供API支持使用者开发插件，满足你独特的需求。0x...

勒索病毒一直是安全行业的一个热点，近期安全人员发现了一款名为rapid的勒索病毒，该勒索病毒使用了 RSA加AES对文件进行加密，它不仅会感染计算机上已有的文件，还会对新创建的文件...