API已成为构建和连接现代应用程序的事实标准。就目前而言，越来越多的应用程序转向基于微服务的架构更是助推了这一趋势。因此，确保公司开放Web应用程序免受API安全风险的侵扰至关重要。本文盘点API安全风险Top10，帮您掌握更多相关知识，从而更好地保护API安全。1.失效的对象级授权：当客户端的授权...

Weblogic最近的补丁日更新了多个远程代码执行漏洞，笔者对比最新的补丁发现黑名单列表中新增了“com.fasterxml.jackson.databind.node”。前段时间有ctf赛事和多篇技术文章里面都提到过jackson有从原生反序列化执行到getter的调用链，而weblogic默认开...

当今高度信息化的时代，网络安全的重要性不言而喻。为了应对日益复杂的网络威胁，许多企业和组织都在寻求更加高效、精准的解决方案。而随着最近火热的ChatGPT出现和国内大模型的不断更新迭代，引发了无数中小企业纷纷布局各自垂直领域大模型以追赶新技术。墨云科技推出的大模型VackGPT采用P-Tuning ...

随着现代软件的复杂性和功能不断增加，软件库在Linux系统中扮演着至关重要的角色，为应用程序和系统提供了丰富的功能和支持。然而，这些软件库可能存在着未知的漏洞和潜在的安全风险，给系统带来潜在的安全威胁。在安全研究和漏洞挖掘领域，Fuzzing（模糊测试）已经成为一种广泛应用的自动化测试技术。Fuzz...

在后渗透场景中，代理几乎是不可或缺的一部分，对于多层网络架构的复杂内网环境而言，多级代理、多协议代理、端口复用等代理功能便尤为重要，本文将分以下几个部分逐步介绍：常见代理的方式代理端口复用研究基于已有服务的端口复用方式常见代理方式反向代理反向代理（Reverse Proxy）指的是由目标服务器主动像...

墨云安全研究员在今年2月份发现某OA未授权SQL注入漏洞，厂商于04月18日已发布漏洞补丁，本文将针对该漏洞进行分析与验证。某OA的CheckServer.jsp文件默认是可以未授权访问的，CheckServer.jsp文件没有对用户输入的settings参数数据进行充分的验证和过滤，导致攻击者可以...

如今，基于文本的验证码依然是各大网站使用最广泛的安全机制。它通过要求用户在输入框输入随机生成的文本字符串来验证用户身份，从而防止恶意注册、暴力破解以及垃圾邮件等恶意事件发生，帮助网站保护用户数据和网络安全。提高验证码识别技术不仅可以自动地检测网站安全性，也可以从侧面改进安全策略，推动网络安全技术的进...

研究人员公开披露了Realtek公司的SDK中存在4个安全漏洞，攻击者可以未经身份验证远程利用这些漏洞，注入任意命令并以最高权限执行任意代码或导致设备崩溃。这些漏洞影响了至少65个不同供应商生产的近200种产品，并作为供应链漏洞，影响了数十万台下游设备。漏洞概述Realtek芯片组广泛应用于物联网领...

今年年初vmware官方修复了该产品Thrift服务中的一个未授权rce漏洞，CVE编号CVE-2022-31704，通过对比补丁发现在http服务中也修复了两个漏洞，一个路径穿越漏洞和一个bypass csrf token漏洞。漏洞分析首先分析路径穿越漏洞：可以看到这里接收到iconUrl参数后,...

近些年，针对政府和企业的恶意软件攻击越来越多，在数量和影响程度上都以几何倍数增加，而且这种攻击不同于普通的恶意软件攻击，它多出于政治和金融动机，专门针对政府、企业这种特定的对象，拥有极强的隐蔽性和针对性，业内称这种攻击为APT攻击，即高级可持续性攻击。笔者推荐一篇通过机器学习和反编译来检测恶意代码重...