Web框架的请求上下文
背景最近在研究web框架时,对"请求上下文"这个基础概念有了更多的了解,因此记录一下,包括以下内容:"请求上下文"是什么? web框架(flask和gin)实现"请求上下文"的区别? &q...
Read More红队第2篇:区分Spring与Struts2框架的几种新方法
Part1前言在近几年的HW比赛、红队项目中,攻击队在外围打点时,越来越依赖于对Java站点的漏洞挖掘。Java站点的主流框架大致就是两个:Struts2系列(包括Webwork等)及Spring系列(包括S...
Read MoreLog4j 未平,Spring高危漏洞又起,比Log4j更大。
Spring是Java EE编程领域的一个热门开源框架,该框架在2002年创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个...
Read MoreAurelia框架中不安全的默认配置可能允许XSS攻击
概述Aurelia是一个开源的现代JavaScript模块工具箱,用于Web和移动应用程序开发。它也被称为“下一代框架”,自推出以来一直受到广泛认可,已被数百万开发人员和团队使用,每月下载...
Read More合适才是最好的,五大IT风险评估框架介绍
企业组织在选择IT风险评估框架时,需要遵循“合适才是最好的”的原则,合适的风险评估框架和方法可以帮助其打消IT疑虑。基于用户反馈,企业组织可以重点关注NIST RMF、OCTAVE、CO...
Read More“属性”在访问控制系统中的应用——通用属性框架(GAF)示例
本文整理了《“属性”在访问控制系统中的应用》第二部分内容,完整内容请查看阅读原文。摘要:在利用属性实现逻辑访问控制的方法中,授权组件按照策略、规则或用于描述给定属性集...
Read MoreNIST 网络安全框架导读(文末附翻译链接)
三年前,我发布了一项总统政策指令,以加强和维护安全且有弹性的关键基础设施。今天,我们将继续实现这一愿景,即政府和私营部门如何共同努力,以降低风险并提高我们基础设施的稳定性...
Read MoreBrutus:一款模块化的高度可扩展漏洞利用框架
关于BrutusBrutus是一款功能强大的漏洞利用框架,该框架基于模块化开发,并且具备高度可扩展特性。除此之外,Brutus还采用多任务和多进程架构,因此具备高性能特性。Brutus基于Pyth...
Read MoreTIGMINT:一款功能强大的开源情报GUI软件框架
关于TIGMINTTIGMINT是一款功能强大的开源情报GUI软件框架,该工具针对Twitter、Instagram和地理标记应用设计。TIGMINT通过实现抽象机制以隐藏其背后技术细节的复杂性,可以帮助...
Read More前沿安全论丨ATT&CK框架下,看攻击趋势的变化
企业在构建纵深防御体系之前,一个是可以看看ATT&CK攻击框架,从通用的攻击战术、技术、过程,通过透视攻击路径和方式方法,布局检测、防御的策略。另一方面,可以从目前的政策要求、...
Read More通过几道CTF题学习yii2框架
简介Yii是一套基于组件、用于开发大型 Web 应用的高性能 PHP 框架,Yii2 2.0.38之前的版本存在反序列化漏洞,程序在调用unserialize()时,攻击者可通过构造特定的恶意请求执行任...
Read More通过几道CTF题学习Laravel框架
Laravel5.8.x反序列化POP链安装:其中--prefer-dist表示优先下载zip压缩包方式composer create-project --prefer-dist laravel/laravel=5.8.* laravel5.8 在路由文件routes/w...
Read More论文速递:StealthyFlow:一种对抗条件下恶意代码动态流量伪装框架
近日,丁牛网安实验室在匿名通信方面又获得新成果,论文《StealthyFlow:一种对抗条件下恶意代码动态流量伪装框架》被计算机学报录用。恶意代码问题使国家安全面临严重威胁。随着...
Read More知悉、预防、修复:谷歌提出开源软件漏洞治理框架
一、摘要开源软件的安全问题理所当然地引起了业界的关注,但解决方案需要对执行过程中的挑战和合作达成共识。这个问题很复杂,涉及诸多方面:供应链、依赖库管理、身份识别和构建...
Read More必达实验室|持续风险监测网络安全框架(三)
持续风险监测网络安全框架—— 政企网络安全运营实践中测安华必达实验室提出的持续风险监测网络安全框架可指导政企网络安全运营实践工作,通过建立持续风险监测体系,帮助政企...
Read More必达实验室|持续风险监测网络安全框架(二)
持续风险监测网络安全框架—— 持续风险监测体系内容近年来,网络安全形势变化明显,原有的安全常态被打破,为应对网络威胁、监管要求、安全防护的新变化,中测安华必达实验室提出...
Read More必达实验室|持续风险监测网络安全框架(一)
持续风险监测网络安全框架—— 企业级、政府级、防务级的网络安全新常态应对策略近年来,网络安全形势变化明显,原有的安全常态被打破,为应对网络威胁、监管要求、安全防护的新...
Read More网络安全之路:我的系统性渗透测试学习框架
没有兴趣,何来成就,难道就只是为了咕噜猫?hahaha(听不懂吧,没关系,只是因为加密了,你能从我的笔记中找到答案么嘿嘿嘿嘿!!!)注意:以下内容仅记录本人当时学习时任然不知的相关知识。笔记...
Read MoreATT&CK框架详解
背景介绍最近在很多地方都提到了这个攻击框架,相关的介绍文档虽然各种角度都有,但很难通过一篇文章对框架有个整体了解,同时具体的落地实战方向也并不清晰,于是决定根据官方文档...
Read More利用ZoomEye追踪多种Redteam C&C后渗透攻击框架
前言由于工作原因一直都是网络空间搜索引擎重度用户,包括Shodan/ZoomEye/Censys/Fofa等平台都有过使用经验,甚至自己团队也尝试开发过类似平台。自认为还是非常了解的,在前面看...
Read MoreNIST网络安全框架制造篇-低影响性示例实施指南:第1卷-总体指导——连载(四)
编者按: 《NIST网络安全框架制造篇》为制造商管理网络安全风险提供了思路,可作为规划方案,指导读者如何识别机会,改善制造系统的网络安全状况。它根据特定的业务/任务目标,为安全...
Read MoreNIST网络安全框架制造篇-低影响性示例实施指南:第1卷-总体指导——连载(三)
编者按: 《NIST网络安全框架制造篇》为制造商管理网络安全风险提供了思路,可作为规划方案,指导读者如何识别机会,改善制造系统的网络安全状况。它根据特定的业务/任务目标,为安全...
Read MoreNIST网络安全框架制造篇-低影响性示例实施指南:第1卷-总体指导——连载(二)
《NIST网络安全框架制造篇》为制造商管理网络安全风险提供了思路,可作为规划方案,指导读者如何识别机会,改善制造系统的网络安全状况。它根据特定的业务/任务目标,为安全活动划...
Read MoreNIST隐私框架:通过企业风险管理促进隐私保护初步草案(一)
该文件由美国国家标准与技术研究院(NIST)和美国商务部共同发布,发布时间为2020年1月16日。原文名称:NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE...
Read MoreATT&CK系列 ² |深度解读ATT&CK框架
前言 在上一篇文章中,我们简单介绍了这个由美国研究机构MITRE于2014年推出的新型攻击框架ATT&CK的相关概念。ATT&CK是将已知攻击者的行为汇总成战术和技术的一种结构化列表,由...
Read MoreATT&CK系列 ¹ |初识ATT&CK框架
前言ATT&CK这一概念自2014年提出时起,作为安全分析领域中的前沿研究一直在默默地发挥着自己的影响,但是由于其概念在当时过于超前以至于并没有引起多大反响,直至2019年的红蓝对...
Read More用技术对抗技术,腾讯首次公开AI攻击技术和测试研究框架
随着AI技术的发展,越来越多的AI技术应用进入了我们的生活,而人脸识别也成为了最常见的技术应用之一,住酒店、坐飞机高铁、使用政务便民服务等场景中,都可以见到人脸...
Read MoreTEA:一款基于TAS框架的SSH客户端蠕虫
TEA是一款基于TAS框架的SSH客户端蠕虫,从本质上说,它是一个仿冒的SSH客户端,它能够修改tty输入/输出来实现任意命令执行,或通过SSH连接来上传自身以实现渗透感染。为了实现该工...
Read More基于MITRE ATT&CK框架的Kubernetes攻击威胁矩阵
云和容器技术的快速增长,容器编排系统成了发展最快的技术。尤其是谷歌Kubernetes项目成了容器编排事实上的业界标准。越来越多的企业和开发人员已经将自己的工作转移到了K8S...
Read More建立零信任IT环境的5个步骤
零信任不是产品或服务,当然也不仅仅是流行语。相反,它是网络安全防御的一种特殊方法。顾名思义,不是“先验证,然后信任”,而是“永远不要信任,永远要验证”。 本质上,零信任是...
Read More