2025-04-06
此前长时间未做阶段性总结。清明假期,我计划将部分精力投入MCP相关工作,并对当前AI for security的尝试性项目进行小结,重点是整理“使用AI-LLM在供应链检出”的内容。鉴于近期vscode恶意插件检查较多,我打算先从抛出检出数据开启小结工作。
https://asdf11.xyz聚集恶意插件
https://asdf11.xyz同一个ioc在0...
Read More
2023-07-09
企业内部对于代码/接口的改动发现、扫描及漏洞处理时间非常短,不管是基于git hook、AST、JaCoCo或各种精准测试能力在基于代码的基础上均可以做到快速识别,而从外部测试/白帽子角度仅能从黑盒角度判断是否存在接口迭代,从漏洞的角度看接口安全性与安全团队能力成熟度成正比,即新增接口安全测试覆盖度较高,那历史存量接口做迭代是否会100%覆盖?是否更容易出现...
Read More
2022-12-25
有幸在投入部分人力有限条件下,对电商场景从零摸索建立适配的数据安全解决方案,在相对激烈的黑灰产对抗现实情况下努力建设被动应急、感知到主动处置解决方案,经历过事件亦拿到过结果。想借用年底review的事件对相关能力做总结,文章内容均以淘系为例分析。
从威胁猎人发布的《2022年数据资产泄露分析报告》且22年多起引起舆论的数据泄露事件看,22年电商行业数据泄露仍...
Read More
2022-08-10
之前做pypi源恶意包监控的方案中使用import hook的方式,即在load_module的过程中做hook劫持,当时该方案存在一定的局限性比如python2中exec实际是statement。最近在学习ebpf故计算利用ebpf做更加通用(pypi、npm)的类似hids的方案,利用两个周末完成相关代码实现并做部分恶意包验证,一定效果的同时也发现预期的...
Read More
2022-02-15
12345____ _____ ____ _ _ ____ ___ _______ __ ____ ___ __ __ _ _ _ _ _ __ ____________ / ___|| ____/ ___| | | | _ \|_ _|_ _\ \ /...
Read More
2021-12-22
timeline从12月9号开始忙于业务侧漏洞推动,极少有时间对自己的处置做复盘和思考,文章内会隐去公司层面的处置方式注重于个人。从12月9号以来的timeline
2021-12-09:
上午:获取apache log4j-core的commit,基于commit的分析和上层链路本地分析成功,确认存在jndi注入导致的RCE问题,复现成功后基于公司的...
Read More
2021-12-18
甲方安全工程师一枚,12月9号log4j2漏洞爆发以来一直在资产排查、漏洞影响面、组件修复方案、漏洞推动一系列事情中,忙到疲于奔命,很少有时间做复盘,趁着周六简单记录这个getHost() 绕过的case:
2.15.0在JndiManager.lookup中强校验allowedHosts,因为2.15.0默认不会开启lookup的功能,所以对look...
Read More
2021-11-28
看到apisix因为request_uri导致的权限绕过在印象中nginx对于uri是做过强标准化的,不会出现类似tomcat、spring因解析不一致性引起风险,于是抽时间看了下相关的漏洞及源码
apisix缺陷代码uri-blacker.lua1234567local from = re_find(ctx.var.request_uri, conf.bl...
Read More
2021-09-12
最近在业务需求下设计一个相对安全、可靠的加密算法,业务场景为
根据明文字符串$P_{{i}}$生成可检索密文$C_{{i}}$
密文$C_{i}$保存在第三方;
用户随机输入原明文字符串中的字符组合$W_{{r}}$获得其对应的密文串$C_{{r}}$;
将密文串$C_{{r}}$提交至第三方,第三方从多个密文串中搜索哪一个密文串对应的明文包含字符组合$W...
Read More
2021-09-12
最近在需求中遇到一个问题:在对hash值长度敏感的场景下如何选择合适的hash算法,生成的hash值要尽量短的同时要保证安全hash算法的安全侧基本要求。
如生成短链接目前常用的转换算法进制算法、随机数算法、hash算法三个方案中其中包含7/11位短Hash值的诉求,而目前常见的安全哈希算法的hash值基本为128/256bit。
hash算法概念
hash...
Read More
1 2 3 Next