看雪2022 KCTF 秋季赛 | 第五题设计思路及解析
看雪 2022 KCTF秋季赛 已于11月15日中午12点正式开始!比赛延续上一届的模式并进行优化,对每道题设置了难度值、火力值、精致度等多类积分,用规则引导...
攻击技术研判|利用.NET NativeAOT特性的新型攻击手法
情报背景近期来自WithSecure的安全研究人员对名为DUCKTAIL的攻击组织的攻击活动,及其.NET武器化迭代过程进行了分析。该组织使用.NET作为其主要武器的开发语...
如何做好系统安全架构设计
点击上方蓝字谈思实验室获取更多汽车网络安全资讯引言 浅谈系统安全架构设计笔者从事功能安全领域工作八年有余,结合个人经验分享一下对系统安全架构设...
《论文分享》Emilia: Catching Iago in Legacy Code
今天分享的是一篇发表于NDSS 2021的paper《Emilia: Catching Iago in Legacy Code》。目前有一些TEE隔离技术是借助不可信的OS提供类似系统调用的服务来支持可...
无人机攻击:空中网络安全噩梦
编译 | 晶颜编 | Yanni作为一项利基技术,无人机在市场增长和企业采用率方面大有爆发之势。自然地,这也吸引了威胁行为者的关注,他们开始利用该技术进行监视...
跨境支付的CBDC:区块链技术的新起点(二)
一. 引言10月5日,环球银行金融电信协会SWIFT在官网公布了其用于跨境支付的央行数字货币DBDC实验结果,此次实验参与者包括多个国家央行和全球商业...
【论文分享】NAUTILUS:面向语法的灰盒模糊测试方法
今天分享的论文主题是面向语法的灰盒模糊测试,由来自德国波鸿大学和达姆施塔特工业大学的研究人员完成。模糊测试是一种热门的自动化进行程序漏洞测试的方法...
LOLBins免杀技术研究及样本分析
一、前言自病毒木马诞生起,杀毒软件与病毒木马的斗争一直都没有停止过。从特征码查杀,到现在的人工智能查杀,杀毒软件的查杀技术也是越来越复杂。但是病毒...
九维团队-绿队(改进)| SSTI注入分析
一、定义SSTI(Server Side Template Injection),即服务端模板注入,它主要利用的是模板引擎将攻击者构造的 payload 在服务端按代码语义解析执行,然后加载在...
【技术干货】YApi <1.12.0 远程命令执行漏洞
李安@PortalLab实验室 前言 实验室团队开发出一款自动化Web/API漏洞Fuzz的命令行扫描工具(工具地址:https://github.com/StarCrossPortal/scalpel)。本周...