精彩博客

K8s提权之RBAC权限滥用

本文首发于火线Zone:https://zone.huoxian.cn/?sort=newest 作者:今天R了吗 在K8s中RBAC是常用的授权模式,如果在配置RBAC时分配了“过大”资源对象访问权限可导致权限滥用来提权,以至于攻击者扩大战果,渗透集群。 如下是一些RBAC相关的笔记。 # k8s的RBAC `RBAC` - 基于角色的访问控制。 `RBAC`使用`rbac.authorization.k8s.io` API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用`RBAC`,需要...

06/21 12:11
173
0
带你读顶会论文丨基于溯源图的APT攻击检测

摘要:本次分享主要是作者对APT攻击部分顶会论文阅读的阶段性总结,将从四个方面开展。 本文分享自华为云社区《[论文阅读] (10)基于溯源图的APT攻击检测安全顶会总结》,作者:eastmount 。 一.背景知识 1.什么是APT攻击? APT攻击(Advanced Persistent Threat,高级持续性威胁) 是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这...

05/28 14:55
574
0
关于加密通道规范,你真正用的是TLS,而非SSL

摘要:事实上我们现在用的都是TLS,但因为历史上习惯了SSL这个称呼,平常还是以SSL为多。 本文分享自华为云社区《SSL和TLS的联系及区别》,作者: HZDX。 TLS/SSL是一种加密通道的规范,它利用对称加密、公私钥不对称加密及其密钥交换算法,CA系统进行加密且可信任的信息传输,在HTTP SSL中常用的对称加密算法有RC4,AES,3DES,Camellia等,SSL由从前的网景公司开发,TLS是SSL的标准化后的产物,事实上我们现在用的都是TLS,但因为...

05/23 17:32
1K
0
Linux中基于eBPF的恶意利用与检测机制

> 近几年云原生领域飞速发展,eBPF技术成为各厂商首选技术,在网络编排、行为观测等领域四处开花。然而收益与风险并存,不久前爆出的Bvp47后门正是利用BPF技术惊人地在世界各地潜伏了近二十年。今日BPF已演进为eBPF,黑客会如何利用,造成什么危害?我们又该如何防范? ![](https://oscimg.oschina.net/oscnet/up-f3686e38953b4181a15fa558b7d208cc0a2.jpg) ## 前言 近几年,云原生领域飞速发展,K8s成为公认的云操作系统。容器...

04/11 11:10
1.1K
0
实战 LaTex Injection

最近在给某友商做安全测试时,遇到一个全新的技术——**LaTeX**。由于此前从未遇到过,加上国内资料较少,一时引起了云山雾隐的注意。关于LaTeX的安全问题,严格意义上来说应该是属于Tex的安全问题,因为它是基于Tex的。而了解Tex的应该都知道,若使用不当,则会有很大的安全隐患。 在此云山雾隐简单分析下该技术,本文只是一个简单介绍和分享,如有不妥,欢迎各位积极讨论、互相学习。 **简介** LaTeX(LATEX,音译“拉泰赫”)...

04/08 10:53
1.5K
0
BabaSSL 8.3.1 发布稳定版本

![](https://oscimg.oschina.net/oscnet/up-d13f6dd72156fcdb73d8cee54cd1a7aecf0.png) 密码学开源项目 BabaSSL 近日发布了 8.3.1 稳定版本,该版本中修复了若干 bug。 BabaSSL 8.3.1 主要存在如下方面的更新: 修改 EC-ElGamal 的 bug 修复 2 处 SM2 签名算法的实现 bug [0x9527-zhou] 修复 CVE-2022-0778 8.3.1 版本的下载地址:https://github.com/BabaSSL/BabaSSL/releases/tag/8.3.1 【BabaSSL 简介】 BabaSSL 是一个提供现...

04/02 16:14
249
0
检测发现:2月份开源攻击激增

Sonatype 是国外一个提供漏洞查找和修复软件的公司,他们最著名的产品叫Nexus,它是Maven的私服。前不久,Sonatype 发现,自2月份以来,多个开源软件存储库被激增的可疑恶意包渗透,并在最近持续蔓延。 本周,我们通过 Sonatype 的自动恶意软件检测系统(Nexus Firewall的一部分)发现了 npm 中130个类型错误包,PyPI 存储库中 12 个恶意包。这些攻击发生的时间相当有趣——当时全世界都在关注俄罗斯-乌克兰危机,各国政府都在敦...

03/10 16:10
6.5K
1
高危!!Kubernetes 新型容器逃逸漏洞预警

> 作者:米开朗基杨,KubeSphere 布道师,云原生重度感染者 2022 年 1 月 18 日,Linux 维护人员和供应商在 Linux 内核(5.1-rc1+)文件系统上下文功能的 **legacy_parse_param** 函数中发现一个[堆缓冲区溢出](https://en.wikipedia.org/wiki/Heap_overflow)漏洞,该漏洞的 ID 编号为 [CVE-2022-0185](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0185),属于高危漏洞,严重等级为 **7.8**。 该漏洞允许在内核内...

03/03 11:26
1.8K
0
移动应用中的第三方SDK隐私合规检测,早知道

摘要: 在移动应用隐私合规检测中,第三方SDK隐私声明由于其展现位置展现形式的多样性,自动化提取与解析是比较困难的任务。 本文分享自华为云社区《移动应用中的第三方SDK隐私合规检测》,作者: wolfrevo。 概述: 工信部164号文[1]要求对SDK违规处理用户个人信息进行整治,包括违规收集个人信息、超范围收集个人信息、违规使用个人信息、强制用户使用定向推送功能等违规内容。相关整治内容的检测需要结合第三方SDK隐私声明与...

02/21 10:18
1.1K
0
使用 NGINX App Protect 保护 Kubernetes 中的应用

原文作者:Amir Rawdat of F5 原文链接:使用 NGINX App Protect 保护 Kubernetes 中的应用 - NGINX 转载来源:NGINX 官方网站 企业深知他们需要快速地将服务和应用推向市场,因为如果他们不这样做,竞争对手也肯定会这样做。但是 Web 应用是网络攻击的首要目标,盲目的快速更新只会加剧潜在安全漏洞成功通过 QA 并进入生产的风险。 受诸多因素的影响,企业很难始终遵守严格的安全标准。快速将代码发布到生产环境的压力导致安全...

02/16 11:26
958
0
教你从零搭建Web漏洞靶场OWASP Benchmark

摘要:Owasp benchmark 旨在评估安全测试工具的能力(准确率、覆盖度、扫描速度等等),量化安全测试工具的扫描能力,从而更好得比较各个安全工具优缺点。 本文分享自华为云社区《Web漏洞靶场搭建(OWASP Benchmark)》,作者:Xuuuu 。 渗透测试切记纸上谈兵,学习渗透测试知识的过程中,我们通常需要一个包含漏洞的测试环境来进行训练。而在非授权情况下,对于网站进行渗透测试攻击,是触及法律法规的,所以我们常常需要自己搭...

02/09 10:51
1.9K
0
面对 Log4j2 漏洞,安全人都做了什么?

摘要:本文从漏洞复现、漏洞防护、漏洞检测、软件供应链安全等方面,介绍安全人针对该漏洞做的尝试。 本文分享自华为云社区《面对 Log4j2 漏洞,安全人都做了什么?》,作者:maijun。 Apache Log4j2是Java开发领域,应用非常广泛的一款日志记录框架。Apache Log4j2漏洞从刚刚爆发,就因影响范围之大、危险程度之高(该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。),成为了一个知...

01/20 15:15
2.9K
0
技术人员必须知道的手机验证码登录风险

手机验证码登录是一种常见的应用登录方式,简单方便,不用记忆密码,市面上能见到的APP基本都支持这种登录方式,很多应用还把登录和注册集成到了一起,注册+登录一气呵成,给用户省去了很多麻烦,颇有一机在手、天下我有的感觉。 # 登录原理 手机验证码登录的原理很简单,对于一个正常的登录流程,看下边这张图就够了: ![WX20220114-220950@2x](https://oscimg.oschina.net/oscnet/up-460e2c32c6d3b30aefa64e303384bfc208f.jpg...

01/17 08:07
2K
0
最新版:Apache Pulsar 针对 Log4j 漏洞解决方案

作者:Matteo Merli,StreamNative CTO,Apache Pulsar PMC 主席;Addison Higham,StreamNative 主管工程师,Apache Pulsar Committer。 本文译自 StreamNative 英文博客,原文链接:https://streamnative.io/blog/engineering/log4-mitigation-en/,更多详情请参考 StreamNative 公众号。 此文于本周二更新,详细添加了最新的 Log4j 漏洞如何影响其他 Pulsar 生态系统工具的详细信息。 上周末,Apache 开源项目 Log4j 2.16.0...

2021/12/24 20:20
8.4K
0
带你掌握二进制SCA检测工具的短板及应对措施

摘要:本文针对二进制SCA检测技术短板所面临的一些特殊场景、检测影响及应对措施进行详细分析和说明,希望对使用二进制SCA检测工具的测试和研发人员有所帮助。 本文分享自华为云社区《二进制SCA检测工具---技术短板及应对措施》,作者:安全技术猿。 世间万物都不可能是十全十美的,二进制SCA检测技术也逃不过此宿命,它既有它的长处,能解决其他技术不能或很难解决的问题和场景,同时它自身技术短板也面临着一些无法或很难解决...

2021/12/27 10:54
1.2K
0
如何缩小安全漏洞爆炸半径,实现服务间零信任安全?

*作者:王夕宁, 奇方* 近日国内外多家安全机构监测到 Apache Log4j 存在任意代码执行漏洞(漏洞编号:CVE-2021-44228),未取得身份认证的用户,可以从远程发送数据请求输入数据日志,轻松触发漏洞,最终在目标上执行任意代码。 众所周知,Log4j 在多个微服务应用框架中被广泛使用,这些分布众多的微服务也会增加安全的挑战,每个微服务都是一个被攻击的目标。Kubernetes 为托管和编排用户的微服务提供了一个出色的平台。但是,...

2021/12/27 00:53
1.5K
0
如何强化应用安全能力,全面拦截 Log4j 漏洞攻击

最近几天对于很多开发者而言,只能用争分夺秒与胆战心惊来形容。而造成这一切的源头,来自于被公布的 Apache Log4j2 远程代码执行漏洞(CNVD-2021-95914)。当前几乎所有技术巨头都在使用该开源组件,其危害将带来一连串连锁反应。据行业机构不完全统计,该漏洞影响 6w+ 流行开源软件,影响 70% 以上的企业线上业务系统!漏洞波及面、危害程度均堪比 2017 年的让数百万台主机面临被勒索病毒攻击的风险的“永恒之蓝”漏洞。 ![1....

2021/12/27 01:31
1.4K
0
隐私计算软硬件结合是产业发展趋势

导读 隐私计算赛道正在崛起,今年也是隐私计算落地元年,涌现出了大量隐私计算相关的公司、产品与应用场景。在刚刚结束的《陆家嘴》杂志“隐私计算”交流机会上,蚂蚁集团可信原生技术总监、可信硬件与内核负责人秦承刚受邀分享了“软硬件结合将加速隐私计算行业发展”的行业趋势。 秦承刚认为:在隐私计算领域中,软硬件结合能够解决数据全生命周期的安全保障和密码学算力加速的问题,是隐私计算技术能够大规模落地的重要保障。...

2021/12/21 13:41
702
0
深入 HTTP/3(一)|从 QUIC 链接的建立与关闭看协议的演进

![](https://oscimg.oschina.net/oscnet/up-dc0e6c268bc6b4c497917110444c0c36e62.png) 文|曾柯(花名:毅丝 ) 蚂蚁集团高级工程师 负责蚂蚁集团的接入层建设工作 主要方向为高性能安全网络协议的设计及优化 本文 10279 字 阅读 18 分钟 ## PART. 1 引言 作为系列文章的第一篇,引言部分就先稍微繁琐一点,让大家对这个系列文章有一些简单的认知。 先介绍下这个系列文章的诞生背景。QUIC、HTTP/3 等字眼想来对大家而言并不陌生...

2021/12/21 18:17
4.8K
0
Apache Log4j2,RASP 防御优势及原理

Apache Log4j2 远程代码执行漏洞已爆发一周,安全厂商提供各类防御方案和检测工具,甲方团队连夜应急。 影响持续至今,网上流传的各种利用和绕过姿势还在层出不穷,影响面持续扩大。所有安全人都开始反思一个问题:当前的防御是否有效?针对这样的 0day 再次发生,什么是有效的手段? 阿里云安全团队此次参与了诸多客户应急,并从云平台自身防御总结经验,尝试抛出一些观点以供讨论。 首先,我们先来从技术层面分析一下为什么这...

2021/12/17 01:01
3.2K
0

没有更多内容

加载失败,请刷新页面

我把整个研发中台拆分过程的一些心得总结

背景在21年,中台拆分在21年,以下为中台拆分的过程心得,带有一定的主观,偏向于中小团队中台建设参考(这里的中小团队指3-100人的团队),对于大型团队不太适用,毕竟大型团队人中/技术充足...

昨天 20:07
5.4K
3
字节跳动开源 Go HTTP 框架 Hertz 设计实践

前言 Hertz 是字节跳动服务框架团队研发的超大规模的企业级微服务 HTTP 框架,具有高易用性、易扩展、低时延等特点。在经过了字节跳动内部一年多的使用和迭代,如今已在 CloudWeGo 正式开源。...

06/22 13:50
8.8K
1
得物App数据模拟平台的探索和实践

原创|得物技术-凌遥 导读 Mock是一个接口编辑模拟工具,可以快速手动或者基于YAPI创建Mock接口模拟数据调试,同时支持场景,场景组的快速切换,方便在开发期和测试阶段试验不同数据返回的U...

06/22 10:56
6.1K
0
记mysql-connector-java:8.0.28的bug排查,你可能也踩坑了

前言 如标题,最终查明问题是因为 mysql-connector-java:8.0.28 的一个 bug 导致的。但是在真相未浮出之前,整个问题可谓扑朔迷离,博主好久没有排查过如此得劲的 bug ,随着一层层的 debug ...

06/21 11:58
1.8W
9
百度交易中台之钱包系统架构浅析

导读:百度APP内含有现金、活动、虚拟等多类资产信息,分布于百度APP内各个业务线中,用户回访信息难度较高,且用户对百度资产认知度不高。我的钱包建立后,汇聚百度APP内所有用户资产信息,...

06/21 11:30
1W
4
剖析 SPI 在 Spring 中的应用

vivo 互联网服务器团队 - Ma Jian 一、概述 SPI(Service Provider Interface),是Java内置的一种服务提供发现机制,可以用来提高框架的扩展性,主要用于框架的开发中,比如Dubbo,不同框架...

06/21 09:20
6.6K
4
前端自动化构建之Gulp

前端自动化构建之Gulp 本篇文章的核心是介绍一款强大的任务流工具Gulp,之所以题目叫做“前端自动化构建之Gulp”,是因为Gulp本身是使用JS编写的运行在Node环境的一个npm包,并且大部分开发者...

06/18 12:41
6.4K
2
掘地三尺搞定 Redis 与 MySQL 数据一致性问题

Redis 拥有高性能的数据读写功能,被我们广泛用在缓存场景,一是能提高业务系统的性能,二是为数据库抵挡了高并发的流量请求,点我 -> 解密 Redis 为什么这么快的秘密。 把 Redis 作为缓存组...

06/17 16:12
1.2W
7
系统困境与软件复杂度,为什么我们的系统会如此复杂

作者:聂晓龙(率鸽) 读 A Philosophy of Software Design 有感,软件设计与架构复杂度,你是战术龙卷风吗? 前言 有一天,一个医生和一个土木工程师在一起争论“谁是世界上最古老的职业”。...

06/17 15:50
1.4W
15
基于 Prometheus + Grafana 实现 Nexus 监控观测

前言 Nexus 是开源的 Maven 私服仓库,同时 Nexus 还支持 Npm 、 .Net、Golang 、Python 等开发语言的包管理。Nexus 也是我们重度使用的一个应用,Nexus 保存着 Tap 各开发组的代码构建产物。...

06/16 18:21
9.1K
1
一种简单的架构设计逻辑|得物技术

1 背景 技术方案设计和评审是版本迭代的一个重要环节,一般情况下版本迭代交付,技术方案设计在2-3天,颗粒度大的需求或者独立项目,这一个环节的时间会适度拉长,但是整体时间还是比较紧凑。...

06/15 15:35
1.4W
10
kLoop:直通 Linux 内核的高性能 asyncio

本文适合有一定编程基础的同学阅读,但不要求有任何专业方向的经验。写作目的,一是撺掇各路英豪一起做开源,二是记录一下新项目的选型设计和概念验证过程。全文小一万字(知乎那个字数统计…...

06/12 04:24
1.2W
9
Cube 技术解读 | Cube 渲染设计的前世今生

作者:何瑾(潇珺) 本文为《Cube 技术解读》系列第四篇文章,往期文章欢迎大家回顾。 《Cube 技术解读 | Cube 小程序技术详解》 《Cube 技术解读 | 支付宝新一代动态化技术架构与选型综述》 ...

06/10 15:19
7.1K
1
618 大促来袭,浅谈如何做好大促备战

作者:泮圣伟(十眠) 如何有效利用云产品做好我们的业务大促备战,这是一个大家都比较关心的问题。今天趁着 618 大促来袭前,谈一谈我们所积累的最佳实践。 点击下方链接,立即查看视频讲解...

06/09 14:44
6.1K
2
Android对so体积优化的探索与实践

减小应用安装包的体积,对提升用户体验和下载转化率都大有益处。本文将结合美团平台的实践经验,分享 so 体积优化的思路、收益,以及工程实践中的注意事项。本文将先从 so 文件格式讲起,结合...

06/09 12:06
6.4K
0
淘宝Native研发模式的演进与思考 | DX研发模式

DX全称DinamicX,目前是在淘宝乃至整个阿里集团内广泛使用的Native动态化方案,核心优势是性能和稳定性。过去几年一直有其他淘宝/集团的外部文章中有涉及到DX,但DX一直没有对外做过完整介绍...

06/07 16:51
9K
1
React Native 资源更新增量包的优化实践

本文首发于微信公众号“Shopee技术团队” 。 作者:Pei,来自 Shopee 商家服务前端团队。 1. 背景 Shopee 的许多手机应用是原生与 React Native(下文简称 “RN”)的混合(hybrid)应用。在...

06/06 17:37
4.8K
0
实时数据湖在字节跳动的实践

对实时数据湖的解读 数据湖的概念是比较宽泛的,不同的人可能有着不同的解读。这个名词诞生以来,在不同的阶段被赋予了不同的含义。 数据湖的概念最早是在 Hadoop World 大会上提出的。当时的...

06/06 11:48
9.9K
0
Golang 常见设计模式之单例模式

之前我们已经看过了 Golang 常见设计模式中的装饰和选项模式,今天要看的是 Golang 设计模式里最简单的单例模式。单例模式的作用是确保无论对象被实例化多少次,全局都只有一个实例存在。根据...

06/01 10:25
7.8K
3
3000帧动画图解MySQL为什么需要binlog、redo log和undo log

> 全文建立在MySQL的存储引擎为InnoDB的基础上 先看一条SQL如何入库的: 这是一条很简单的更新SQL,从MySQL服务端接收到SQL到落盘,先后经过了MySQL Server层和InnoDB存储引擎。 Server层就像...

05/31 21:58
2W
25

没有更多内容

加载失败,请刷新页面

返回顶部
顶部
返回顶部
顶部