漏洞与安全设计

vxunderground已经发现了第一个 Log4J 蠕虫，它是一个自我传播的 Mirai 机器人。可以在此处下载 Log4J Mirai 蠕虫的汇总了样本：https: //vx

近日，Spring Cloud Function 官方测试用例曝光了 Spring Cloud Function SPEL 表达式注入漏洞，可利用该漏洞通过注入 SPEL 表达式来触发远程命令执行。Spring Cloud Function 是一个基于 Spring Boot 的函数

功能能力安全（capability-safe）的语言（如Rust）可以最大限度地减少甚至防止Log4j漏洞发生。在本文中讨论围绕Log4j漏洞的两个问题：它会对用户提供的字符串进行字符串插值。它会访问网络，而没有人意识到它可能会这样做。（这是能力安全

今天，研究人员发现了一个可能破坏互联网的最严重漏洞之一，这个漏洞目前没有 CVE id（当时是待确认，3月31日已经确认 CVE-2

号称保护隐私的Brave勇敢浏览器却对后端服务器高度依赖！Brave勇敢浏览器对“后端服务器”高度依赖，网友arunmozhi决定放弃这个号称保护隐私的浏览器，原文点击标题：我已经使用

Apache 发布了另一个 Log4j 版本 2.17.1，修复了 2.17.0 中新发现的远程代码执行 (RCE) 漏洞，编号为 CVE-2021-44832。在今天之前，2.17.0 是 Log4j 的最新版本，被认为是最安全的升级版本，但现在这个建议已经演变。 

上周log4j漏洞的最终方案是升级到2.16.0版本，但是周五又爆新漏洞，按照传统：研究人员发现 Log4J 2.16 版通过“${$ {::-${::-$${::-j}}}} ”容易受到 DoS 攻击。如果出于任何原因尝试在以上字符串，它将触发无限递归，应用程序将崩溃。点标

直接上结论：如何从Http的标头X-Forwarded-For（简称XFF）中寻找“真实客户端 IP 地址”？请使用IP地址列表中最右侧的 IP。XFF 标头中最左边的 IP 通常被认为是“最接近客户端”和“最真实”的，但它很容易被欺骗。不要将它用于任何与安全相关的事情。 <

欢迎来到 2021 年十大（新）网络黑客技术，这是PortSwigger年度社区支持的最新迭代，目标是确定去年发布的最重要的网络安全研究。倒序如下： 10 - 通过嵌套解析器对 XSS 进行模糊测试对于像 XSS 这样的古老话题，很容易认为你已经知道这一切，并

Stripe 是世界上最大的支付处理商之一。该公司的主要产品是 Stripe Payments API，开发人员可以使用它轻松地将支付功能嵌入到他们的应用程序中。由于 Stripe 的规模，它们是支付欺诈和网络犯罪的一大目标。Andrew Tausz 是 Stripe

Google 已针对 Chrome 99 发布了紧急安全更新，以解决已被公开利用的漏洞。CVE-2022-1096并被认为是高严重性的安全漏洞。是V8 JavaScript 和 WebAssembly 引擎中的类型混淆错误。  该漏

这是一个用 Java 编写的身份验证提供程序， Keycloak、Auth0 / Firebase Auth / AWS Cognito 的开源替代品。该项目为应用程序添加了安全登录和会话管理。适用于流行语言和前端框架的社区支持 SDK，例如 Node.js、Go、Python、Re

软件物料清单 (SBOM) 正成为一项至关重要的安全要求，它可以在软件在整个供应链中移植时实现可见性。组织必须立即采取行动，建立一项重要的新能力：SBOM 管理。目前，行业领导者采用的最佳实践是为应用程序的每个交付或部署版本生成软件材料清单SBOM，生成并管理软件的物料清单 (SBO

Merry Maker是一个旨在检测是否存在数字窃取机的解决方案，由两位目标安全开发人员@cawalch和@ebrandel建立。 从根本上说，Merry Maker实现了三个关键过程。 通过保存网站提供的代码以及测试交易产生的网络

锁定文件是依赖清单的“编译”版本。它指定安装的每个依赖项的确切版本。一个好的锁文件格式递归地指定依赖关系的所有依赖关系。一些锁文件还为依赖二进制文件或源指定了一组允许的 SHA 哈希值（请参阅后面的文章，哪些锁文件支持这种额外的特异性级别）。例如，在 Python 中，Pipfile

Apache Gobblin：本地凭证披露漏洞： 在 Apache Gobblin 中，Hadoop 令牌被写入一个临时文件，该文件对类 Unix 系统上的所有本地用户可见。这会影响版本 <= 0.15.0。用户应更新至解决此问题的版本 0.16.