Aggregator

个人对K8s的安全做个随笔总结

个人对K8s的安全做个随笔总结

个人对K8s的安全做个随笔总结

The GreyNoise Labs team is proud to have hosted the GreyNoise NoiseFest 2023 CTF - who knows if we will do it again, but we had fun, so here’s a walkthrough on how and why we did it.

密码泄露相当于丢了钥匙，数据本身泄漏相当于赔了房子。

渗透测试之http数据包加解密

对某孕小程序渗透测试的时候遇到http数据包加密的情况

于是在前端js代码查找加解密的代码，可以搜索关键字encrypt，decrypt

在加解密的代码处打断点

在浏览器控制台调用加解密函数

加密内容

解密

登录系统是普通用户的界面

对登录的响应包修改参数，再加密

放包成功垂直越权

查看孕妇信息

通过解密得到的信息

1 个帖子 - 1 位参与者

阅读完整话题

从人们开始探索代码扫描这件事情开始，市面上就在不断地诞生着各种各样的工具，经过了几年的演变以及发展，对于白盒代码扫描这件事情来说，大家的观念也在逐渐趋同。

从人们开始探索代码扫描这件事情开始，市面上就在不断地诞生着各种各样的工具，经过了几年的演变以及发展，对于白盒代码扫描这件事情来说，大家的观念也在逐渐趋同。

从人们开始探索代码扫描这件事情开始，市面上就在不断地诞生着各种各样的工具，经过了几年的演变以及发展，对于白盒代码扫描这件事情来说，大家的观念也在逐渐趋同。

从人们开始探索代码扫描这件事情开始，市面上就在不断地诞生着各种各样的工具，经过了几年的演变以及发展，对于白盒代码扫描这件事情来说，大家的观念也在逐渐趋同。

In this post we break down some of the broader themes from Black Hat and DEF CON 2023 and pull out some recurring themes across each that would cause some consternation for CISOs, CIOs, CEOs, and board members.

在此之前的几年，我一直在百度、贝壳主要负责企业的甲方安全建设，多数时候是直接以防守方的角色参与其中。今年，从过去的一周来看，整体活跃程度是要比往年更热烈的。

微信公众号：渊龙Sec安全团队为国之安全而奋斗，为信息安全而发声！如有问题或建议，请在公众号后台留言如果你觉

EDR到底是什么？和杀毒软件有什么区别？希望通过一次攻击过程能让您了解EDR的作用

前言

之前在Metabase 漏洞中实现了任意js脚本的执行,但是这并不优雅 每次都要发送完整的请求包.
Metabase 的部署方法比较特殊 它打包成了一个独立jar来运行. 这意味着不能通过简单的写文件的方法来获得较为持久化的webshell.
那么在这种情况下如何实现一个内存马呢?