Web漏洞分析之——顺瓜摸藤 (blog.nsfocus.net)

【简介】

在分析一些漏洞时,能从相关的漏洞预警和描述中获取的情报往往很少。

很多时候,只能通过漏洞描述或者补丁中找到漏洞触发点,然而如何利用,如何找到从入口贯通到漏洞触发点的利用链,这时候就需要我们顺瓜摸藤了。

有时候,顺着一个瓜(漏洞触发点),还能摸到很多条藤(利用链)。

点击查看全文 >>

@技术头条 2019-04-09 00:28分享 / 原作者微博:@绿盟科技 / 0个评论
赞过的人: 技术头条
要不要再学学下面的文章?
Web应用托管服务(Web+)隐藏的十个上云最佳姿势 (yq.aliyun.com)
随着云计算浪潮的推进,技术架构云化已经成为大势所趋。特别是最近由CNCF推动的云原生概念,将符合云原生标准的各种开源技术方案推向了前所未有的高度。在这一波浪潮的推动下,越来越多的企业开始了自身的数字化征程,逐步将自己的IT基础设施往云上迁移。Web应用托管服务(Web+) 正是在这一波浪潮下应运而生的黑科技产品——以应用为中心,为应用编排所需的云资源,并将中间件团队支持近千家企业客户上云时遇到各类问题的解决办法,形成一套最佳实践沉淀到这个产品中呈现给大家。这篇文章,就将逐一向大家揭秘隐藏在这个产品背后的十个最佳实践。
by @可耐芊小仙女 2019-08-28 15:40 分享 查看详情
基于servlet实现一个web框架 (codemacro.com)
servlet作为一个web规范,其本身就算做一个web开发框架,但是其web action (响应某个URI的实现)的实现都是基于类的,不是很方便,并且3.0之前的版本还必须通过web.xml配置来增加新的action。servlet中有一个filter的功能,可以配置所有URI的功能都经过filter。我们可以基于filter的功能来实现一个简单的web框架。
by @技术头条 2019-08-10 22:28 分享 查看详情
TSQL:让监控分析更简单更高效 (yq.aliyun.com)
SQL作为一个诞生于上世纪70年代的编程语言已经存在几十年了。这是一个相对而言较“古老”的编程语言,但又是一个有着广泛用户基础的语言。在跟踪主要编程语言的流行程度的TIOBE index[1]中,SQL在2019年4月份的排名是第8。而如果把排名列在11-20之间的SQL的两个“兄弟”PL/SQL, Transact-SQL也合并进来的话,SQL的流行度应该更高。
by @可耐芊小仙女 2019-08-09 15:21 分享 查看详情
《2019年上半年Web应用安全报告》发布:90%以上攻击流量来源于扫描器,IP身份不再可信 (yq.aliyun.com)
Web应用安全依然是互联网安全的最大威胁来源之一,除了传统的网页和APP,API和各种小程序也作为新的流量入口快速崛起,更多的流量入口和更易用的调用方式在提高web应用开发效率的同时也带来了更多和更复杂的安全问题。一方面,传统的SQL注入、XSS、CC攻击等传统攻击手段和各种新爆出的web漏洞无时无刻不在考验着web应用安全方案的健壮性、灵活性和安全团队的快速反应能力,另一方面随着大数据技术和流量产业的成熟,互联网中来自自动化程序的流量占比也在迅速增长,爬虫也随之成为一个不容忽视的存在,伴随而来的数据泄露、流量作弊等问题也为各类业务带来了非常头痛的费用浪费、业务不可用以及各类业务安全类问题。
by @可耐芊小仙女 2019-07-24 15:49 分享 查看详情
Kubernetes Ingress日志分析入门 (yq.aliyun.com)
本文主要介绍如何基于日志服务构建Kubernetes Ingress日志分析平台,并提供一些简单的动手实验方便大家快速了解日志服务相关功能。
by @可耐芊小仙女 2019-07-17 14:57 分享 查看详情
基于日志服务的GrowthHacking(1):数据埋点和采集(APP、Web、邮件、短信、二维码埋点技术) (yq.aliyun.com)
在上文中,我们介绍了GrowthHacking的整体架构,其中数据采集是整个数据分析的基础,只有有了数据,才能进行有价值的分析;只有高质量的数据,才能驱动高质量的运营分析.可以说,数据质量决定了运营质量。
by @可耐芊小仙女 2019-07-01 10:38 分享 查看详情
WebLogic Server再曝高风险远程命令执行0day漏洞,阿里云WAF支持免费应急服务 (yq.aliyun.com)
6月11日,阿里云安全团队发现WebLogic CVE-2019-2725补丁绕过的0day漏洞,并第一时间上报Oracle官方, 6月12日获得Oracle官方确认。由于Oracle尚未发布官方补丁,漏洞细节和真实PoC也未公开,为保障客户的安全性,阿里云Web应用防火墙(WAF)紧急更新规则,已实现对该漏洞的默认防御。
by @可耐芊小仙女 2019-06-20 17:01 分享 查看详情
理解 Web 3.0 技术栈及区块链如何助力 (learnblockchain.cn)
Web 3.0 的技术栈虽然尚未完成开发,但是一个去中心化、透明、安全的 Web 3.0 互联网时代即将来临,而区块链技术将是 Web 3.0 的主要驱动力。
by @Tiny熊 2019-06-20 11:25 分享 查看详情
Quick BI 3.0 - 强大的多维分析表格:交叉表 (yq.aliyun.com)
行和列:行一般是作为一个系列分类的概念,里面通常放置维度字段;列与行对应,是用于展示统计分析的数据,通常放置度量字段。钻取:钻取是改变维的层次,变换分析的粒度。它包括向上钻取和向下钻取。通过向导的方式,用户可以定义分析因素的汇总行,例如对于各地区各年度的销售情况,可以生成地区与年度的合计行,也可以生成地区或者年度的合计行。
by @可耐芊小仙女 2019-06-19 15:09 分享 查看详情
从源码角度分析 Kotlin by lazy 的实现 (www.jianshu.com)
延迟属性(lazy properties) 是 Kotlin 标准库中的标准委托之一,可以通过 by lazy 来实现。本文从源码角度分析 Kotlin by lazy 的实现
by @Tony沈哲 2019-06-16 22:32 分享 查看详情