早上好!新一天又开始啦!有什么打算呢?
订阅RSS:

标签:安全

Redis 未授权访问漏洞分析 cleanfda 脚本复现漏洞挖矿

本文是接上一篇《记录一次 Redis 6379 被黑攻击 被设置主从同步和挖矿门罗币》继续分析黑客脚本,复现黑客如何利用 Redis 未授权访问漏洞拿到 shell 执行挖矿的。

进入阅读
记录一次 Redis 6379 被黑攻击 被设置主从同步和挖矿门罗币

工作中我们使用 Redis 作为缓存来加速静态内容的加载,因为是开发环境所以我就用 docker 启动了一个 redis 镜像,所以懒得设置密码,本以为有 iptables 防火墙可以高枕无忧,但是最近使用有点问题。

进入阅读
Debian HTML清理库发现跨站点脚本漏洞,需要尽快升级

4月6日,Debian发布了安全更新,修复了HTML清理库python bleach 中发现的跨站点脚本漏洞。python-bleach是一个基于白名单、通过转义或去除标签和属性的方式,来对HTML文本净化的python库。

进入阅读
利用 Github Actions 的 Workflows 挖矿挖掘数字加密货币

GitHub Actions 是一个 CI/CD 免费服务,现在正在被利用挖矿挖掘数字加密货币,什么是 GitHub Actions,我再另一篇文章中进行了介绍,此处不在赘述,请参考:《初体验 GitHub Actions Workflows 工作流入门教程以及我的使用感受》。

进入阅读
PHP官方的Git代码仓库被黑提交后门代码

就在三天前,两个恶意提交被推送到 PHP 团队在其 git.php.net 服务器上维护的 php-src Git代码仓库中。且这两个提交还都伪造了他的签名和 PHP 创建者 Rasmus Lerdorf 的签名。

进入阅读
TLS 1.0 和 TLS 1.1 被IETF(国际互联网工程任务组)终结弃用

IETF(国际互联网工程任务组)公告,TLS1.0(RFC2246) 和 TLS1.1(RFC4346) 已被正式弃用。这些版本缺乏对当前和推荐的加密算法以及机制的支持。

进入阅读
Firefox 87 将默认移除 HTTP Referrer 反向链接 以保护用户隐私

Firefox 宣布,Firefox 87 将引入更严格,更保留隐私的默认“引荐来源网址”政策。从现在开始,默认情况下,Firefox 将修剪引荐来源标头中的路径和查询字符串信息,以防止站点意外泄漏敏感用户数据。

进入阅读
Linux、Unix、MacOS 存在 sudo 漏洞(CVE-2021-3156) 利用复现

这是 Sudo 工具中存在十年之久的漏洞,可能会授予任意本地用户对基于 Unix 的系统(包括 macOS Big Sur 和早期版本)进行根访问。可通过非法操作为任意本地用户授予 root 权限。用户要触发它,只需要重写 argv[0]或者创建一个符号链接。

进入阅读
继 QQ 读用户浏览器之后,微信 PC 客户端也被报出扫描用户浏览器信息

近日,有网友在V2EX论坛上反馈称,自己的安全软件检测拦截到 PC 版微信扫描浏览器历史记录的情况,并且还涉及到浏览器 cookies。还附上了抓现行的录屏视频。

进入阅读
Chromium 禁止使用 Google Sync API 接口 Linux 发行版社区考虑移除 Chromium 软件包

Google Chrome 浏览器小组向 Linux 发行版开发者发送了一封电子邮件,从2021年3月15日开始基于 Chromium 的衍生物将不能再使用 Google API,例如 Google Sync,谷歌为了用户的账户安全,不再让第三方使用 Google API。

进入阅读
我理解的解决DDoS攻击方式参考Cloudflare的任播(Anycast)技术

DDoS的攻击无论在个人甚至是中小互联网企业中都很棘手,甚至一些大型企业都很难应对,本篇文章我想通过我自己的理解,看看世界顶级CDN安全厂商Cloudflare是怎么化解DDoS攻击的。

进入阅读
微信搜一搜:任霏博客
打赏
  • BTC bc1qeu98cm8u2uretll42p72js6jlmk5pvw3a493s2
  • ETH 0x5DeF3FD2eC2707ee02CCc6022e9f39361B367525
  • ApqJpFXgNnW4Cw8f8fh5sDaz1fYjqiYmWmERaAZTPM7r
  • Donate QR Code