Django框架防止目录穿越——从路由传参说起

最近审计代码过程中出现了没有正确处理url形成目录穿越,导致可以读取或下载任意文件的案例,过程很简单,由此却引发了和小伙伴的讨论,对风险的控制需要依赖框架本身还是必须从根本上规避风险点。下面就通过目录遍历漏洞的案例分析一下django的路由传参方式,以及在日常开发中如何避免此类风险。

阅读全文 “Django框架防止目录穿越——从路由传参说起” »

PXE引导启动拷机测试镜像

PXE是Inter公司开发的最新技术,基于C/S模式,可以实现主机通过网络从远程服务器下载系统映像,并由此支持通过网络启动操作系统。具体的工作流程如下:将要安装的设备设置成PXE引导方式,启动后设备会向同一二层交换机下的DHCP服务器请求一个IP用作网络连接,再用TFTP协议请求下载软件启动包到本机内存执行,这个启动包可以被用来引导和安装服务器中的终端操作系统。

阅读全文 “PXE引导启动拷机测试镜像” »

用docker+elastic打造属于自己的网络探针

网络探针,就是一个用于捕获、分析网络数据包的组件。目前有一些捕获、分析网络数据包的开源组件,比如Yaf、bro、packetbeat等,但是这些组件的核心在于流量的采集,而流量日志的存储、界面展示则没有。所以我们会希望拥有自己的网络探针,捕获、分析数据包,并以界面的形式展示查询。这篇文章告诉你如何用docker打造你专属的网络探针。

阅读全文 “用docker+elastic打造属于自己的网络探针” »

【恶意样本】Windows APT – Zebrocy样本 技术分析与防护方案

绿盟威胁情报中心(NTI)检测到多起Zebrocy攻击事件,是APT攻击组织Sednit利用Zebrocy样本对韩国、瑞士国家的相关目标发起过窃密活动,该样本的主要以大使馆、外交部及外交官类为目标,影响较广,绿盟科技专家对其攻击流程和原理进行分析并制定防护方案,请用户及时关注并注意防护。

阅读全文 “【恶意样本】Windows APT – Zebrocy样本 技术分析与防护方案” »

利用Drupal远程代码执行漏洞(CVE-2018-7600)挖矿技术分析

Drupal站点再一次被利用,这次是为了挖掘加密货币。据安全公司Imperva Incapsula的研究人员称,这个被称为“Kitty”加密货币挖矿恶意软件的恶意脚本利用Drupal中已知的严重远程代码执行漏洞(CVE-2018-7600)不仅针对服务器,还针对浏览器。

阅读全文 “利用Drupal远程代码执行漏洞(CVE-2018-7600)挖矿技术分析” »

新型Necurs恶意垃圾邮件——利用网络快捷方式“.url”绕过安全检测

Necurs僵尸网络仍然是最高产的恶意垃圾邮件发布者之一,它们会精心制作附件用于下载恶意软件。我们跟踪的大部分恶意垃圾邮件广告系列都针对Microsoft Office,其中包含宏或有漏洞的文档。我们还会看到许多其他类型的压缩脚本(.VBS,.JS等)的恶意附件 – 实际上是最终payload的下载器。但是在最近发现的一种新技术中,Necurs通过避免上述格式并使用不同的文件类型——恶意的.URL文件(Internet Shortcut)。

阅读全文 “新型Necurs恶意垃圾邮件——利用网络快捷方式“.url”绕过安全检测” »