[CVE-2023-46604/CNVD-2023-80853] ActiveMQ < 5.18.3 RCE

Oct 30,2023 in 安全研究,Java反序列化漏洞 read (1032)

补充：好像已经有 CNVD 编号了：CNVD-2023-80853CVE：CVE-2023-46604从 Github 上的 commit 记录里，很容易找到那个疑似修补漏洞的 commit：https://github.com/apache/activemq/pull/1...

继续阅读

Integrate Security Into Your DevOps Practices

Sep 15,2023 in 安全架构 read (1290)

上一篇文章的侧重点主要在讲如何 Secure DevOps Environments，而这一篇则更注重于如何在 DevOps 流程中融入安全属性。当一个新的应用被创建的时候，大部分情况下都会默认包含一些稳定性的特性，例如限流、熔断、缓存、可弹性调度与部署，唯独少了安全。安全...

继续阅读

Sep 13,2023 in 安全架构 read (823)

Secure DevOps Environments最近看了一本小书《Secure DevOps Environments》，觉得有些观点非常有趣，简单记录一下。文章中提到了一个非常有意思的词和观点，即：shift-left hacker 。文章中指出，目前攻击者已经不仅仅...

继续阅读

Jul 10,2023 in 安全研究,安全开发,Web安全 read (1594)

开源地址：https://github.com/lightless233/sign-me-20x00上一篇文章主要分享了越权测试插件的思路，经过一段时间的使用，确实节省了不少时间，也遇到了新的问题。很多网站现在发起请求时，会附加一个 sign 签名值，以保证参数值在传输的...

继续阅读

Jun 13,2023 in 安全研究,安全开发,Web安全 read (12280)

0x00最近一段时间，做了一些自动化/半自动化的测试小工具，主要还是想从重复的工作中解放出来，把时间投入到更有意义的事情中。开发语言也从之前的 Python 逐步切换到了 Rust，虽然 Python 是一门很棒的语言，可以让我快速的实现各种想法的原型，但是 Python ...

继续阅读