Cloud Security Guides :一个收集优秀云安全资源的项目
Cloud Security Guides 是一个用来收集云计算安全相关领域优质资源的项目,可为业界提供云计算安全建设资料参考。
https://github.com/GRQForCloud/cloud-security-guides
在这篇文章中,我们将介绍一个阶段性的但真实的场景,以展示攻击者如何可能获得对云账户的完全访问。我们还将介绍如何通过使用Sysdig Cloud Connector检测和缓解这种攻击。
https://mp.weixin.qq.com/s/-EwOour9I5HdmcP40QIhmQ
攻击者借助SaaS(软件即服务)平台的优势:价格便宜、灵活性强、易于拓展,进而衍生出网络钓鱼即服务(PhaaS)、勒索软件即服务(RaaS)等模式。
https://mp.weixin.qq.com/s/id70fgAgqqVSo4rcAKevSg
IBM Cloud Databases for PostgreSQL中的供应链漏洞导致未授权的数据库访问
在这篇博文中,作者将展示如何能够利用 PostgreSQL 中的权限升级漏洞来发现一个长期存在的秘钥,该秘钥可能被滥用以向内部 IBM Cloud CI/CD 服务进行身份验证并干预 IBM Cloud 的内部映像构建过程,实际上可能使其客户面临供应链攻击。
https://www.wiz.io/blog/hells-keychain-supply-chain-attack-in-ibm-cloud-databases-for-postgresql
American Megatrends MegaRAC Baseboard Management Controller (BMC) 软件中的三个漏洞影响许多云服务和数据中心提供商使用的服务器设备。
https://eclypsium.com/2022/12/05/supply-chain-vulnerabilities-put-server-ecosystem-at-risk/
黑客攻击变得一年比一年高级和复杂,因此现在追踪了解安全漏洞比以往任何时候都来得重要。本文着重介绍了2022年恶意威胁分子利用的一些最危险的漏洞。
https://mp.weixin.qq.com/s/8i8aNFlhRpk_0fq19DtzNg
Bug Writeup:使用 Akamai WAF Bypass 在 Spring Boot 错误页面上通过 SSTI 进行 RCE
这篇文章讨论了作者与Dark9T针对 Bugcrowd 上托管的私人程序进行的一次成功合作:最终能够绕过 Akamai WAF,并在运行 Spring Boot 的应用程序上使用 Spring 表达式语言注入实现远程代码执行。
https://h1pmnh.github.io/post/writeup_spring_el_waf_bypass/
Verocode研究结果表明,在开源组件仓库中70.5%的代码库存在安全漏洞,而这些安全漏洞风险46.6%是由其他开源项目直接、间接引进所导致的。
https://mp.weixin.qq.com/s/Sn9-qk_cfgTHBJh9ourD4A
Serverless 架构:如何应对不断变化的安全问题
在本文中,我们将提供Serverless架构的一些背景知识,并从专业的角度分析其对安全性的影响,以及应对这种变化的最佳方法。
https://mp.weixin.qq.com/s/8um5n9UCpAIvqt8bKybdkA
本文带来了K8s API Server的认证、授权、准入控制的一些技术知识介绍。
https://mp.weixin.qq.com/s/ZpBuac-HC2g4MTVT_FvG6w
TripleCross:一款功能强大的Linux eBPF安全研究工具
TripleCross是一款功能强大的Linux eBPF安全研究工具,该工具提供了后门、C2、代码库注入、执行劫持、持久化和隐蔽执行等功能。
https://mp.weixin.qq.com/s/6uxWVxUvf5tZ-7qMslVZTA
云战略对云计算在企业机构中的作用进行了高度概括。根据Gartner的研究,业务和IT领导者在制定云战略时一直在重复十个常见的错误。
https://www.secrss.com/articles/49717
https://cloudsec.tencent.com/info/list.html
原文始发于微信公众号(云鼎实验室):每周云安全资讯-2022年第50周
