250406vscode投毒插件

此前长时间未做阶段性总结。清明假期,我计划将部分精力投入MCP相关工作,并对当前AI for security的尝试性项目进行小结,重点是整理“使用AI-LLM在供应链检出”的内容。鉴于近期vscode恶意插件检查较多,我打算先从抛出检出数据开启小结工作。 https://asdf11.xyz聚集恶意插件 https://asdf11.xyz同一个ioc在0...

Read More

接口迭代黑盒监控工具

企业内部对于代码/接口的改动发现、扫描及漏洞处理时间非常短,不管是基于git hook、AST、JaCoCo或各种精准测试能力在基于代码的基础上均可以做到快速识别,而从外部测试/白帽子角度仅能从黑盒角度判断是否存在接口迭代,从漏洞的角度看接口安全性与安全团队能力成熟度成正比,即新增接口安全测试覆盖度较高,那历史存量接口做迭代是否会100%覆盖?是否更容易出现...

Read More

电商场景安全能力建设

有幸在投入部分人力有限条件下,对电商场景从零摸索建立适配的数据安全解决方案,在相对激烈的黑灰产对抗现实情况下努力建设被动应急、感知到主动处置解决方案,经历过事件亦拿到过结果。想借用年底review的事件对相关能力做总结,文章内容均以淘系为例分析。 从威胁猎人发布的《2022年数据资产泄露分析报告》且22年多起引起舆论的数据泄露事件看,22年电商行业数据泄露仍...

Read More

利用ebpf监控包管理器供应链攻击

之前做pypi源恶意包监控的方案中使用import hook的方式,即在load_module的过程中做hook劫持,当时该方案存在一定的局限性比如python2中exec实际是statement。最近在学习ebpf故计算利用ebpf做更加通用(pypi、npm)的类似hids的方案,利用两个周末完成相关代码实现并做部分恶意包验证,一定效果的同时也发现预期的...

Read More

JAVA三方组建依赖分析

12345____ _____ ____ _ _ ____ ___ _______ __ ____ ___ __ __ _ _ _ _ _ __ ____________ / ___|| ____/ ___| | | | _ \|_ _|_ _\ \ /...

Read More

log4j2-漏洞及处置复盘

timeline从12月9号开始忙于业务侧漏洞推动,极少有时间对自己的处置做复盘和思考,文章内会隐去公司层面的处置方式注重于个人。从12月9号以来的timeline 2021-12-09: 上午:获取apache log4j-core的commit,基于commit的分析和上层链路本地分析成功,确认存在jndi注入导致的RCE问题,复现成功后基于公司的...

Read More

log4j2_CVE-2021-45046

甲方安全工程师一枚,12月9号log4j2漏洞爆发以来一直在资产排查、漏洞影响面、组件修复方案、漏洞推动一系列事情中,忙到疲于奔命,很少有时间做复盘,趁着周六简单记录这个getHost() 绕过的case: 2.15.0在JndiManager.lookup中强校验allowedHosts,因为2.15.0默认不会开启lookup的功能,所以对look...

Read More

nginx下request_uri的normalized问题

看到apisix因为request_uri导致的权限绕过在印象中nginx对于uri是做过强标准化的,不会出现类似tomcat、spring因解析不一致性引起风险,于是抽时间看了下相关的漏洞及源码 apisix缺陷代码uri-blacker.lua1234567local from = re_find(ctx.var.request_uri, conf.bl...

Read More

可检索加密方案

最近在业务需求下设计一个相对安全、可靠的加密算法,业务场景为 根据明文字符串$P_{{i}}$生成可检索密文$C_{{i}}$ 密文$C_{i}$保存在第三方; 用户随机输入原明文字符串中的字符组合$W_{{r}}$获得其对应的密文串$C_{{r}}$; 将密文串$C_{{r}}$提交至第三方,第三方从多个密文串中搜索哪一个密文串对应的明文包含字符组合$W...

Read More

短Hash算法方案

最近在需求中遇到一个问题:在对hash值长度敏感的场景下如何选择合适的hash算法,生成的hash值要尽量短的同时要保证安全hash算法的安全侧基本要求。 如生成短链接目前常用的转换算法进制算法、随机数算法、hash算法三个方案中其中包含7/11位短Hash值的诉求,而目前常见的安全哈希算法的hash值基本为128/256bit。 hash算法概念 hash...

Read More