绿盟科技技术博客

【漏洞分析】Typecho对象注入漏洞分析

2017-10-27邓永凯typecho, typecho漏洞

2017年10月24日，Typecho被爆出install.php文件存在后门可以直接执行任意代码导致使用此系统的网站直接被getshell。

【绿盟大讲堂】代码审计指南

2017-10-27汤夏菁java代码审计, 代码安全, 代码安全审计, 代码安全检查, 代码审计, 代码审计工具, 代码审计教程, 代码审计规则1 Comment

从认证管理、授权管理、输入输出验证、会话管理、密码管理、调试接口、日志审计、运行环境、第三方组件等多个方面梳理了代码审计需要关注的重点。让你的代码无懈可击！

【干货分享】HTTPS SSL 加密问题浅析

2017-10-26陈博fileserver SSL, HTTPS SSL 加密, HTTPS工作过程, nginx 单向加密, nginx 双向加密, openssl签发证书, SSL证书, 加密认证, 双向认证过程

SSL(Secure Socket Layer)：是Netscape公司设计的主要用于WEB的安全传输协议，它在https协议栈中负责实现上加密层。本文介绍了HTTPS以及SSL协议，以及Nginx如何实现加密。

【威胁通告】DUHK攻击可恢复密钥解密传输数据安全威胁通告

2017-10-26绿盟科技duhk, DUHK攻击

继KRACK和ROCK攻击之后，本周接踵而来的是DUHK攻击活动，针对受影响的设备，攻击者可以恢复加密密钥，从而解密出通过该设备的加密通信内容。攻击的目标可能为VPN链接或者加密的WEB会话内容，包括敏感的业务数据、登陆凭证、支付信息、隐私信息以及其他机密内容。

【干货分享】Web安全漏洞深入分析及其安全编码

2017-10-26汤夏菁Web安全, Web安全漏洞, web常见漏洞, web攻击, web漏洞分析, web漏洞类型, 代码安全, 安全编码, 安全编码规则, 安全编码规范, 网站漏洞

超全Web漏洞详解及其对应的安全编码规则，包括：SQL注入、XSS、CSRF、文件上传、路径遍历、越权、XML以及业务安全等，实例告诉你各个漏洞对应的编码规则。给你的代码加把安全锁！

【绿盟大讲堂】渗透测试流程解析

2017-10-25游江渗透检测原理, 渗透测试, 渗透测试七个步骤, 渗透测试培训, 渗透测试工具, 渗透测试流程

渗透测试的标准流程，你get到了吗？

【干货分享】通过Netflow进行攻击AS溯源

2017-10-25苗宇AS 溯源, netflow analyzer, netflow流量分析, Netflow进行, 攻击AS溯源, 攻击溯源, 攻击溯源技术, 网络攻击溯源, 网络攻击追踪溯源

攻击溯源有很多技术和方法，本文对通过Netflow进行攻击AS溯源的技术方法进行一些介绍和分析。

【安全漏洞】CVE-2017-12629 – Apache Solr XXE & RCE 漏洞分析

2017-10-24高东Apache Solr, Apache Solr RCE, Apache Solr XXE, CVE-2017-12629, 漏洞分析

Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发，主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞：XML实体扩展漏洞（XXE）和远程命令执行漏洞（RCE）。