阅读笔记,2024 S&P。
Java 反序列化中一个众所周知且严重的安全漏洞是 Java 对象注入(JOI),它使得远程攻击者能够注入一个精心制作的序列化对象,触发一系列内部 Java 方法(称为 gadgets),最终实现一系列严重的攻击后果,例如远程代码执行(RCE)和拒绝服务(DoS)攻击。
阅读笔记,2023 AAAI。
AD(活动目录, Active Directory)可以看做是一个攻击图,其中节点代表计算机/账户/安全组,边代表现有访问权限/已知漏洞,这些访问权限/漏洞允许攻击方从一个节点访问另一个节点。
与许多仅具有理论性质的攻击图模型不同,AD 攻击图正在被实际攻击者和 IT 管理员积极使用。已开发了多个软件工具(包括开源和商业软件),用于扫描、可视化和分析 AD 图。
比如 BLOODHOUND,模拟了身份雪球攻击。攻击者从一个低权限帐户开始,这被称为攻击者的入口节点(例如,通过钓鱼邮件获得)。然后,攻击者从一个节点移动到另一个节点,最终目标是获取名为 DA(域管理员,Domain Admin)的最高权限帐户。
Log4j2 的 Lookups 是一项功能强大的功能,用于在日志记录过程中动态获取和替换属性值。
通过 Lookups,可以引用环境变量、系统属性、配置文件中定义的属性等,以在日志消息中动态插入相关的值。
荒废了好久,remake 了。
下了三天雨,啥也没看着。
浅跟一下。
摸一下。
没有网络的网络安全大赛。