安全威胁分析

Factor安全4 天前
前端·chrome·web安全·网络安全·安全威胁分析·安全性测试
Chrome漏洞可窃取数据并获得未经授权的访问权限在发现两个关键漏洞后,谷歌发布了Chrome浏览器的紧急安全更新。这些漏洞可能允许攻击者窃取敏感数据并未经授权访问用户系统。
#岩王爷6 天前
安全威胁分析
kali的wifi工具使用Kali Linux 是一个基于 Debian 的 Linux 发行版,专为渗透测试、安全审计、网络安全评估和取证分析设计。它提供了大量的工具和软件包,涵盖了网络扫描、漏洞评估、密码破解、无线网络攻击等多个方面,使得信息安全专业人士能够有效地进行安全测试和防护措施的评估。Kali Linux 是一个开源的项目,社区活跃,更新频繁,确保了其中工具的可靠性和时效性。
Factor安全12 天前
安全·web安全·网络安全·tomcat·apache·安全威胁分析·安全性测试
CVE-2025-24813 漏洞全解析|Apache Tomcat 关键路径绕过与RCECVE-2025-24813 是 Apache Tomcat 中一个关键的路径等效性(Path Equivalence)漏洞,允许未经身份验证的远程攻击者在特定配置下实现远程代码执行(RCE)、读取敏感文件,甚至篡改文件内容。该漏洞已在野外被观察到存在实际利用行为,影响范围广泛。
SecPulse16 天前
网络·开源·安全威胁分析·开源软件·流影
流影---开源网络流量分析平台(五)(成果展示)目录前沿攻击过程前四章我们已经成功安装了流影的各个功能,那么接下来我们就看看这个开源工具的实力,本实验将进行多个攻击手段(ip扫描,端口扫描,sql注入)攻击靶机,来看看流影的态感效果
予安灵20 天前
前端·安全·web安全·网络安全·安全威胁分析·ssrf·服务端请求伪造
《白帽子讲 Web 安全》之服务端请求伪造(SSRF)深度剖析:从攻击到防御在当今复杂的网络环境中,Web 应用安全犹如一座时刻需要精心守护的堡垒。随着技术的不断演进,各类安全威胁层出不穷,其中服务端请求伪造(SSRF)正逐渐成为令开发者与安全从业者头疼的一大难题。吴翰清在《白帽子讲 Web 安全》中对 SSRF 进行了深入探讨,接下来让我们详细梳理这一安全隐患的相关知识。
国科安芯1 个月前
嵌入式硬件·安全·fpga开发·架构·安全威胁分析
ASP3605同步降压调节器——高可靠工业电源芯片解决方案ASP3605是国科安芯推出的高效同步降压调节器。其输入电压范围为4V至15V,支持5A连续输出电流,最高效率达94%。芯片集成低导通电阻的N沟道功率MOSFET,支持800kHz至4MHz可编程开关频率,适用于工业自动化、分布式电源系统及电池供电设备。工业级型号ASP3605I6U通过严格的可靠性测试,工作温度覆盖-40°C至85°C,满足工业设备对电源模块的长期稳定需求。
元气满满的热码式1 个月前
安全·web安全·网络安全·网络攻击模型·安全威胁分析
网络安全之端口扫描(一)DVWA(Damn Vulnerable Web Application)是一个专门设计用于测试和提高Web应用程序安全技能的开源PHP/MySQL Web应用程序。它是一个具有多个安全漏洞的故意不安全的应用程序,供安全专业人员、渗透测试人员、学生和开发人员用来练习和提升他们的技能。
予安灵2 个月前
前端·安全·web安全·系统安全·网络攻击模型·安全威胁分析·文件操作安全
《白帽子讲 Web 安全》之文件操作安全目录引言(一)文件上传与下载漏洞概述1.文件上传的常见安全隐患1.1前端校验的脆弱性与服务端脚本执行危机在文件上传流程中,部分开发者可能会在前端使用 JavaScript 代码对文件后缀名进行简单校验,试图以此阻止非法文件上传。但这种做法存在严重缺陷,因为前端代码在用户浏览器端运行,攻击者可轻易通过浏览器开发者工具或其他手段修改前端代码,绕过此类校验。
予安灵2 个月前
前端·网络·安全·web安全·网络攻击模型·安全威胁分析·点击劫持
《白帽子讲 Web 安全:点击劫持》目录摘要:一、点击劫持概述二、点击劫持的实现示例:诱导用户收藏指定淘宝商品案例构建恶意页面:设置绝对定位和z - index:
仇辉攻防2 个月前
web安全·网络安全·云原生·容器·kubernetes·k8s·安全威胁分析
【云安全】云原生- K8S 污点横移在 K8S 中,利用污点(Taint)进行横向移动渗透是指攻击者通过操纵或绕过集群中的污点和容忍(Toleration)机制,将恶意负载(Pod)调度到原本受保护的节点上,从而突破隔离并进一步渗透集群。污点和容忍是 K8S 的合法功能,设计目的是增强安全性。问题通常源于错误的权限分配(如过宽的 RBAC 策略)或不安全的容忍配置(如 Pod 容忍所有污点)。
仇辉攻防2 个月前
web安全·网络安全·docker·云原生·容器·kubernetes·安全威胁分析
【云安全】云原生-Docker(六)Docker API 未授权访问Docker API 未授权访问 是一个非常严重的安全漏洞,可能导致严重的安全风险。Docker API 是 Docker 容器平台提供的一组 RESTful API,用于与 Docker 守护程序进行通信和管理 Docker 容器。通过 Docker API,用户可以通过 HTTP 请求来执行诸如创建、启动、停止、删除容器等操作。同时,Docker API 还允许用户管理镜像、网络、卷等 Docker 资源。用户可以使用任何支持 HTTP 请求的工具或库来访问 Docker API,从而实现与 Dock
分歧Sec2 个月前
安全·web安全·网络安全·安全威胁分析·xss
告别卡关!XSS挑战之旅全关卡通关思路详解来到关卡 我们发现URL存在?name参数 且参数值回显在网页上故尝试操控URL 构造test< 发现网站没有对参数进行恶意字符过滤 尝试构造payload
仇辉攻防2 个月前
安全·web安全·网络安全·云原生·kubernetes·k8s·安全威胁分析
【云安全】云原生-K8S(四)安全问题分析Kubernetes(K8S)因其强大的容器编排能力成为了云计算和微服务架构的首选,但同时也带来了复杂的安全挑战。本文将概述K8S的主要安全问题,帮助安全工程师理解潜在威胁,并采取相应的防护措施。
仇辉攻防2 个月前
web安全·网络安全·云原生·容器·kubernetes·k8s·安全威胁分析
【云安全】云原生-K8S(三) 安装 Dashboard 面板在Kubernetes中安装Dashboard需要几个步骤,包括部署Dashboard组件、配置访问权限以及暴露Dashboard服务等。以下是详细的步骤:
独行soc2 个月前
python·安全·web安全·安全威胁分析·云安全·任意文件读取
#渗透测试#批量漏洞挖掘#致远互联AnalyticsCloud 分析云 任意文件读取免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章读。
仇辉攻防2 个月前
web安全·网络安全·云原生·kubernetes·k8s·安全威胁分析·kubelet
【云安全】云原生- K8S Kubelet 未授权访问K8S中的kubelet是一个运行在每个工作节点上的核心组件,它负责管理Node(节点)上的容器生命周期、资源管理、镜像拉取、节点注册、Pod监控和报告、安全性控制以及日志和指标收集,协作容器运行时,以确保容器在节点上正确运行,从而实现容器编排和自动化容器管理。
仇辉攻防2 个月前
web安全·网络安全·云原生·kubernetes·k8s·安全威胁分析·etcd
【云安全】云原生- K8S etcd 未授权访问etcd 是一个开源的分布式键值存储系统,主要用于存储和管理配置信息、状态数据以及服务发现信息。它采用 Raft 共识算法,确保数据的一致性和高可用性,能够在多个节点上运行,保证在部分节点故障时仍能继续提供服务。
仇辉攻防2 个月前
web安全·docker·云原生·容器·kubernetes·k8s·安全威胁分析
【云安全】云原生- K8S API Server 未授权访问API Server 是 Kubernetes 集群的核心管理接口,所有资源请求和操作都通过 kube-apiserver 提供的 API 进行处理。默认情况下,API Server 会监听两个端口:8080 和 6443。如果配置不当,可能会导致未授权访问的安全风险。
仇辉攻防2 个月前
web安全·docker·云原生·容器·kubernetes·k8s·安全威胁分析
【云安全】云原生- K8S kubeconfig 文件泄露kubeconfig 文件是 Kubernetes 的配置文件,用于存储集群的访问凭证、API Server 的地址和认证信息,允许用户和 kubectl 等工具与 Kubernetes 集群进行交互。它通常包含多个集群的配置,支持通过上下文(context)切换不同的集群、用户和命名空间。kubeconfig 文件的典型路径是 ~/.kube/config,但也可以通过 KUBECONFIG 环境变量指定其他路径。
浩浩测试一下3 个月前
web安全·网络安全·系统安全·安全威胁分析·可信计算技术
渗透测试之文件包含漏洞 超详细的文件包含漏洞文章目录说明通常分为两种类型:本地文件包含典型的攻击方式1:影响:典型的攻击方式2:包含路径解释:日志包含漏洞: