此前长时间未做阶段性总结。清明假期，我计划将部分精力投入MCP相关工作，并对当前AI for security的尝试性项目进行小结，重点是整理“使用AI-LLM在供应链检出”的内容。鉴于近期vscode恶意插件检查较多，我打算先从抛出检出数据开启小结工作。 https://asdf11.xyz聚集恶意插件 https://asdf11.xyz同一个ioc在0...

企业内部对于代码/接口的改动发现、扫描及漏洞处理时间非常短，不管是基于git hook、AST、JaCoCo或各种精准测试能力在基于代码的基础上均可以做到快速识别，而从外部测试/白帽子角度仅能从黑盒角度判断是否存在接口迭代，从漏洞的角度看接口安全性与安全团队能力成熟度成正比，即新增接口安全测试覆盖度较高，那历史存量接口做迭代是否会100%覆盖？是否更容易出现...

有幸在投入部分人力有限条件下，对电商场景从零摸索建立适配的数据安全解决方案，在相对激烈的黑灰产对抗现实情况下努力建设被动应急、感知到主动处置解决方案，经历过事件亦拿到过结果。想借用年底review的事件对相关能力做总结，文章内容均以淘系为例分析。 从威胁猎人发布的《2022年数据资产泄露分析报告》且22年多起引起舆论的数据泄露事件看，22年电商行业数据泄露仍...

之前做pypi源恶意包监控的方案中使用import hook的方式，即在load_module的过程中做hook劫持，当时该方案存在一定的局限性比如python2中exec实际是statement。最近在学习ebpf故计算利用ebpf做更加通用（pypi、npm）的类似hids的方案，利用两个周末完成相关代码实现并做部分恶意包验证，一定效果的同时也发现预期的...

12345____ _____ ____ _ _ ____ ___ _______ __ ____ ___ __ __ _ _ _ _ _ __ ____________ / ___|| ____/ ___| | | | _ \|_ _|_ _\ \ /...

timeline从12月9号开始忙于业务侧漏洞推动，极少有时间对自己的处置做复盘和思考，文章内会隐去公司层面的处置方式注重于个人。从12月9号以来的timeline 2021-12-09: 上午：获取apache log4j-core的commit，基于commit的分析和上层链路本地分析成功，确认存在jndi注入导致的RCE问题，复现成功后基于公司的...

甲方安全工程师一枚，12月9号log4j2漏洞爆发以来一直在资产排查、漏洞影响面、组件修复方案、漏洞推动一系列事情中，忙到疲于奔命，很少有时间做复盘，趁着周六简单记录这个getHost() 绕过的case: 2.15.0在JndiManager.lookup中强校验allowedHosts，因为2.15.0默认不会开启lookup的功能，所以对look...

看到apisix因为request_uri导致的权限绕过在印象中nginx对于uri是做过强标准化的，不会出现类似tomcat、spring因解析不一致性引起风险，于是抽时间看了下相关的漏洞及源码 apisix缺陷代码uri-blacker.lua1234567local from = re_find(ctx.var.request_uri, conf.bl...

最近在业务需求下设计一个相对安全、可靠的加密算法，业务场景为 根据明文字符串$P_{{i}}$生成可检索密文$C_{{i}}$ 密文$C_{i}$保存在第三方； 用户随机输入原明文字符串中的字符组合$W_{{r}}$获得其对应的密文串$C_{{r}}$； 将密文串$C_{{r}}$提交至第三方，第三方从多个密文串中搜索哪一个密文串对应的明文包含字符组合$W...

最近在需求中遇到一个问题：在对hash值长度敏感的场景下如何选择合适的hash算法，生成的hash值要尽量短的同时要保证安全hash算法的安全侧基本要求。 如生成短链接目前常用的转换算法进制算法、随机数算法、hash算法三个方案中其中包含7/11位短Hash值的诉求，而目前常见的安全哈希算法的hash值基本为128/256bit。 hash算法概念 hash...