黑夜BUG多

项目在上线之后，运行24小时之后CPU突然增高，导致不得不重启机器。 项目在上线前是经过压力测试，刚开始定位是QPS过大，通过增加机器。但结果并不是特别理想，始终会有几台机器增高。 通过jmeter对该机器接口进行压力测试，qps为90，cpu增高到40%持续没多久下降到10%…

一. 引言 大家好，我是来自银基安全实验室的Cure，本次为大家带来的是Padding Oracle攻击的相关介绍与实践。 随着Web服务的日益流行，Web数据的安全传输愈发引起业界重视。HTTPS协议的常见实现经历了从SSL到TLS的变化，目前，使用最广泛的TLS协议为TLS…

登录成功后我也没发现什么其他的，还是sql注入。用sqlmap跑一跑用户名跟密码吧，后面肯定是要用到账号的。 已成功利用，输入id查看身份，可sudo哟，还真的免密登录。

本文介绍了一种新型SQL注入漏洞扫描方式，同构SQL语句。与传统方法相比，该方法可以更加有效地对SQL注入漏洞进行扫描。 尽管现在已经开始大规模的使用对象关系映射(ORM)框架以及预编译SQL语句了，但还是有很多应用程序存在SQL注入漏洞，甚至于因为在对象和原始SQL语句转换过…

这个写函数，当反序列化存储的私有成员是，会有chr(0)的出现，所以会对chr(0) . '*' . chr(0)进行一个替换，当读取的时候会对进行一个还原。 看似没有什么问题，但是当我们可以的存储进行wirte()时不会发生改变。但是进行read()时，会变为chr(0) .…

不知不觉来到掌控学院也快两个月了，想起俩个月前，从零开始，一步一个脚印的走到现在。虽然有时很疲惫，但是却很快乐。 WAF可以发现和拦截各类Web层面的攻击，记录攻击日志，实时预警提醒，在Web应 用本身存在缺陷的情况下保障其安全。 但是，WAF不是万能的、完美的、无懈可击的，在…

早在2018年的时候，我就在一些小型会议上发表了名为Macdoored的演讲。在演讲中，我针对Mac遇到的各种APT攻击进行了分享。在分享过程中，我用了一些时间来说明攻击者目前正在使用的后门，它是Tinyshell的修改版本。Tinyshell是一个开源工具，其运行方式类似于修…

网络安全领域的独特对抗属性给人工智能应用落地带来了重重困难，但我们并不认为这最终会阻碍人工智能成为网络安全利器。我们尝试分析了人工智能在网络安全应用里的潜在困难，并试着解决它们。 基于机器学习、深度学习的网络安全应用研究是近年来网络安全领域里的一个热门研究方向。从可见的资料上来…

一. 引言 大家好，我是来自银基安全实验室的Cure，今天为大家介绍侧信道攻击方法之一，Timing侧信道。 随着软件安全攻防技术的螺旋式进步，安全隐患也更加多样化，有关静态分析、动态调试、远程渗透的技术技巧层出不穷。而侧信道攻击，作为一种剑走偏锋的攻击方式，也愈发引起业界的重…