利用Grpc反射做漏扫
grpc基于http2协议,且client和server交互时要依赖提前约定的proto文件中的接口、字段等,所以目前黑盒扫描方式中通过流量镜像等方式不能适应grpc场景。看到在blackhat asia中的议题《 Hunting Vulnerabilities of gRPC Protocol Armed Mobile/IoT Applications》,之前自己基于grpc反射的特型做过部分研究和实践。
grpc基于http2协议,且client和server交互时要依赖提前约定的proto文件中的接口、字段等,所以目前黑盒扫描方式中通过流量镜像等方式不能适应grpc场景。看到在blackhat asia中的议题《 Hunting Vulnerabilities of gRPC Protocol Armed Mobile/IoT Applications》,之前自己基于grpc反射的特型做过部分研究和实践。
Nexus Repository Manager 3 修复了一个XXE漏洞XML Externam Entities injection-2020-12-15,从部分开源代码中通过与XXE修复相关的Property、feature找到相关的修复commit a8bd8c7416e3efad004991f0ff808555642fc795,发现其修复方案为
去年DDCTF-2019给出的题目是PHP 越权、Bypass black list、模版注入、文件读取漏洞的题目,而今年想了想决定出一道Java+Golang无符号逆向的题目,定位还是相对基础简单的漏洞利用分值只有150分,最后只有43位同学占比6%顺利做出这道题目。WriteUp可以参考滴滴安全应急响应中心公众号
在使用gorm的同时看了下gorm的查询流程及其使用时避免不正确使用可能存在的SQLi点,mysql查询语句核心还是静态占位符方式避免SQLi。
供应链代表的范围非常广,从软件包、开发tools、部署环境等都有供应链的身影,而我们经常接触到的是供应链中的生产节点(软件开发/生产阶段),供应链安全/利用也是安全工程师非常关注的一个点,在MODEC-2020上redrain大佬分享了供应链投毒的思路,而自己之前在滴滴SDL团队内部分享过自己对供应链安全的理解,供应链在威胁/攻击链路中有着非常高的收益比(攻击范围广、方式隐蔽、危害程度大)但也同样非常考验团队的整体实力,趁着周末的时间重新整理下。
从19年年初出于收集恶意POC、恶意样本的目的逐渐自实现一套WEB蜜罐系统,经过一年左右的系统完善和样本的运营,最近外网的VPS不再续费,后面对自实现的蜜罐系统以文章的系统做分享,后面有时间讲对该文章做持续更新。
最近看CVE发现多个因为引入hibernate.validtor组件且在抛错时带入外部可控参数执行SpEL表达式导致RCE漏洞。hibernate.validator实现Jakarta表达式语言用户动态执行、表示违反约定的信息,所以外部可控参数带入表达式执行存在RCE漏洞。
文章首发于先知社区
SaltStack是一种基于C/S架构的服务器基础架构集中管理平台,最近披露出存在两个安全漏洞 CVE-2020-11651 权限缺陷、CVE-2020-11652 任意文件读写漏洞,官方公告SALT 3000.2 RELEASE NOTES, 两个CVE漏洞可以造成远程命令执行。Ghost 使用SaltStack管理自身的机器,漏洞披露后被恶意入侵并植入挖矿程序,Ghost的安全公告
Critical vulnerability impacting all services
文章首发于TOOLS
本周检测到Apache shiro安全更新,修复安全漏洞Apache Shiro权限绕过漏洞(CVE-2020-1957)。自信分析缺陷代码及其commit后发现是url规则Filter处理时产生的漏洞,该漏洞从第一次issue、commit到第二次issue、commit(2019-03-25->2020-02-13)较长的时间才修复完成,漏洞非常简单且影响面有限,本文以CVE-2020-1957结合shiro框架Filter做简单分析。
MITRE ATT&CK主要是基于真实的入侵行为、APT攻击事件梳理形成的知识框图,对于甲方企业安全,可以利用其梳理自身的业务场景、设计威胁模型并与其ATT&CT中的攻击手法做对应,以其发现自身缺陷点,反推检测、防御能力,提高整体的企业安全水位。而本文是基于自己在外网搭建的蜜罐系统真实发生的入侵事件,利用ATT&CT站在攻击者的视角更有针对性的梳理攻击者的思路、攻击手法。