漏洞分析

Kong_Admin_API未授权访问漏洞-CVE-2020-11710

0 条评论 漏洞分析 无标签 mayoterry
1、概述根据官方描述,Kong是一个云原生,快速,可扩展的分布式微服务抽象层(也称为API网关或API中间件)。 它的核心价值是高性能和可扩展性,于2015年作为一个开源项目提供。参考腾讯之前发的漏洞通告,在一次红蓝对抗中,攻击队利用了kong未授权访问漏洞,成功通过该组件访问到了目标内网核心设施,进而进行了一些列的内网渗透 。在通告kong官方后,官方对该问题进行了修复,还申请了对应了CV...

一个5k RMB奖励的SRC漏洞

0 条评论 漏洞分析 无标签 mayoterry
在挖一些SRC漏洞的时候需要时刻保持敏感的状态,特别是在企业上线新业务,或者一些新漏洞爆发的时候,这些新漏洞可能是官方都未提供补丁的0day,或者刚被公布细节的1day等。早上到公司的时候,看到360 cert发了个漏洞预警https://cert.360.cn/warning/detail?id=154bd8345f9cd560ea1c0e5bf453a41d看到这里,不禁想起了Image...