作者：李炯 0x01 概述 什么是ZeroTrust（零信任安全）？ 零信任安全是一种IT安全模型，要求对尝试访问专用网络上的资源的每个人和设备进行严格的身份验证，无论他们是位于网络边界内部还是外部。ZTNA（ZeroTrust Netwo…

作者：费嘉韵 前不久，网上出现了关于websocket内存马的介绍，经过试用发现效果不错。但是原文（https://github.com/veo/wsMemShell/），对于原理的介绍一笔带过，看过之后，依然有很多疑问。于是就尝试学习一下…

漏洞介绍 Oracle官方发布了2022年1月的关键安全补丁集合更新Critical Patch Update，修复了多个存在于WebLogic中的漏洞包括CVE-2022-21306、CVE-2022-21292、CVE-2022-213…

漏洞介绍 Apache Dubbo 是一款高性能、轻量级的开源服务框架。 Dubbo hessian-lite 3.2.11 及之前版本中存在反序列化漏洞（CVE-2021-43297），该漏洞能够导致远程执行任意代码。 大多数Dubbo用…

漏洞介绍 APISIX 是一个高性能、可扩展的微服务 API 网关，基于 nginx（openresty）和 Lua 实现功能，借鉴了 Kong 的思路，将 Kong 底层的关系型数据库（Postgres）替换成了NoSQL 型的 etcd…

2021年11月9日（美国时间），2021 年 11 月 10 日（中国时间），微软发布了安全更新以修复影响微软产品的漏洞。 本次共发布了55个补丁，其中，Microsoft Defender、IE Chakra脚本引擎、Microsoft…

Java表达式注入漏洞危害严重，通常会导致RCE，且在Java框架组件广泛存在。漏洞形成的本质原因是输入外部可控，导致被注入恶意表达式从而导致任意代码执行。Struts，Spring及Elasticsearch均爆出过该类漏洞。我们最近对N…

网络黑灰产概述 根据CNNIC发布第44次《中国互联网络发展状况统计报告》一文记载，截至2019年6月，我国网民规模达8.54亿，手机网民规模达8.47亿，网民使用手机上网的比例达99.1%。在这种大环境下，网络黑灰产因其自身入行技术门槛低…

漏洞介绍 本月我们获取到了 86 个漏洞的补丁。本次更新共发布CVE 66个（不包括未给出漏洞评级基于Chromium的Edge漏洞26个），其他漏洞公告含严重级漏洞3个， 重要级漏洞62个，中等漏洞1个。按漏洞性质分类，包括远程代码执行漏…

漏洞时间：2021年8月11日   介绍 微软本次发布的安全更新涉及Azure、Microsoft Edge、Microsoft Office、Windows MSHTML Platform、Windows Print Spool…