吐了个槽 共 4 篇

吐了个槽 可怕的云WAF

去年去某著名安全公司做技术交流,中间聊了一点云WAF的事情,细思极恐,一直想吐槽,一直没时间,拖到现在。填坑,现在开始吐。

0x01 可怕的云WAF

从攻击者的角度看,云WAF确实可怕:

1、攻击代码被拦截,一些NDay的exp会直接被云WAF拦截,甚至连菜刀的一句话都会被拦截,着实蛋疼。

2、云WAF不仅可以标记网站指纹,还可以标记黑客指纹。

攻击者的常用攻击手法、常用攻击工具、常用IP的攻击特种会被记录,同时其正常上网的记录也会被记录,从而可以形成一个黑客《=》用户的映射。如果不注意...

吐了个槽 Struts2 S2-016 EXP代码与工具

exp

从Struts官方不负责任的公布了S2-016/S2-017的POC以来,已经过去了2个周。期间各种工具和代码满天乱飞,被黑了的网站也不计其数,包括淘宝在内的多个电商、网银等等统统中招。为啥点名淘宝呢,因为漏洞的分析者空虚浪子心正是阿里巴巴的安全专家,不过即使这样,由于各种狗血的原因淘宝依旧没有摆脱Struts2漏洞的影响。

期间有传言淘宝被脱裤。不明真相的我表示:从S2-016这种0day的出现可以看出,网络上必然流传着很多直接秒杀各种服务器和应用的0day,所以即便被脱裤了,也不要太惊讶。另外,帐号安全是多个维度的,即使帐号密...