grpc基于http2协议，且client和server交互时要依赖提前约定的proto文件中的接口、字段等，所以目前黑盒扫描方式中通过流量镜像等方式不能适应grpc场景。看到在blackhat asia中的议题《 Hunting Vulnerabilities of gRPC Protocol Armed Mobile/IoT Applications》，之前自己基于grpc反射的特型做过部分研究和实践。

Nexus Repository Manager 3 修复了一个XXE漏洞XML Externam Entities injection-2020-12-15，从部分开源代码中通过与XXE修复相关的Property、feature找到相关的修复commit a8bd8c7416e3efad004991f0ff808555642fc795，发现其修复方案为

0x00 概述

去年DDCTF-2019给出的题目是PHP 越权、Bypass black list、模版注入、文件读取漏洞的题目，而今年想了想决定出一道Java+Golang无符号逆向的题目，定位还是相对基础简单的漏洞利用分值只有150分，最后只有43位同学占比6%顺利做出这道题目。WriteUp可以参考滴滴安全应急响应中心公众号

在使用gorm的同时看了下gorm的查询流程及其使用时避免不正确使用可能存在的SQLi点，mysql查询语句核心还是静态占位符方式避免SQLi。

• 0x01 GORM流程
• 0x02 错误使用注入点

供应链代表的范围非常广，从软件包、开发tools、部署环境等都有供应链的身影，而我们经常接触到的是供应链中的生产节点(软件开发/生产阶段)，供应链安全/利用也是安全工程师非常关注的一个点，在MODEC-2020上redrain大佬分享了供应链投毒的思路，而自己之前在滴滴SDL团队内部分享过自己对供应链安全的理解，供应链在威胁/攻击链路中有着非常高的收益比(攻击范围广、方式隐蔽、危害程度大)但也同样非常考验团队的整体实力，趁着周末的时间重新整理下。

从19年年初出于收集恶意POC、恶意样本的目的逐渐自实现一套WEB蜜罐系统，经过一年左右的系统完善和样本的运营，最近外网的VPS不再续费，后面对自实现的蜜罐系统以文章的系统做分享，后面有时间讲对该文章做持续更新。

• 3000w+恶意流量
• 10+ 恶意挖矿样本

最近看CVE发现多个因为引入hibernate.validtor组件且在抛错时带入外部可控参数执行SpEL表达式导致RCE漏洞。hibernate.validator实现Jakarta表达式语言用户动态执行、表示违反约定的信息，所以外部可控参数带入表达式执行存在RCE漏洞。

hibernate.validtor

文章首发于先知社区
SaltStack是一种基于C/S架构的服务器基础架构集中管理平台，最近披露出存在两个安全漏洞 CVE-2020-11651 权限缺陷、CVE-2020-11652 任意文件读写漏洞，官方公告SALT 3000.2 RELEASE NOTES, 两个CVE漏洞可以造成远程命令执行。Ghost 使用SaltStack管理自身的机器，漏洞披露后被恶意入侵并植入挖矿程序，Ghost的安全公告
Critical vulnerability impacting all services

文章首发于TOOLS
本周检测到Apache shiro安全更新，修复安全漏洞Apache Shiro权限绕过漏洞(CVE-2020-1957)。自信分析缺陷代码及其commit后发现是url规则Filter处理时产生的漏洞，该漏洞从第一次issue、commit到第二次issue、commit（2019-03-25->2020-02-13）较长的时间才修复完成，漏洞非常简单且影响面有限，本文以CVE-2020-1957结合shiro框架Filter做简单分析。

MITRE ATT&CK主要是基于真实的入侵行为、APT攻击事件梳理形成的知识框图，对于甲方企业安全，可以利用其梳理自身的业务场景、设计威胁模型并与其ATT&CT中的攻击手法做对应，以其发现自身缺陷点，反推检测、防御能力，提高整体的企业安全水位。而本文是基于自己在外网搭建的蜜罐系统真实发生的入侵事件，利用ATT&CT站在攻击者的视角更有针对性的梳理攻击者的思路、攻击手法。