Aggregator

CVE-2024-3400: Command Injection Vulnerability in Palo Alto Networks PAN-OS

2 years ago

On April 12th, 2024, Palo Alto Networks disclosed CVE-2024-3400, a critical command injection vulnerability in PAN-OS software versions 10.2, 11.0, and 11.1, allowing unauthenticated attackers to run arbitrary code with root privileges on affected firewalls when GlobalProtect gateway and device telemetry are active.

针对某黑产组织钓鱼攻击样本分析

安全分析与研究

2 years ago

针对某黑产组织钓鱼攻击样本分析

SDL 19/100问：如何选择静态代码扫描(SAST)工具？

我的安全视界观

2 years ago

静态代码分析的工具非常多，有开源或商业的，有国内、外之分，有基于关键字正则匹配、或AST语义分析、亦或IR/CFG的代码分析。不过从甲方安全建设的视角来看，首要考虑成本和效果，故提供以下几点建议： 1、根据公司技术栈选择工具，具体来说就是看主流开发语言，因为有的工具确实会对某个语言支持得更好，表现在高检出率（POC时尽量不要用知名漏洞靶场）； 2、破解版的SAST商业工具很少，但在国内却广泛传播着国外的某个破解工具，目前来看还有小范围更新规则库，个人研究或缺少预算的可以看看。但针对该情况，更推荐使用开源工具（不主张企业级用破解版，会带来麻烦）； 3、从检测效果来看，正则关键匹配方式明显是误报最高的，但在有的场景中比较好用，比如数据流中断、想要快速检出具体的某一类漏洞.时..故不应考虑技术是否先进，不要指望一个工具能解决所有问题。在工具链建设时，可以先主、然后不断的丰富不同原理但又能扫出漏洞的工具。总的来说，要做好代码安全扫描，无论选择怎样的工具都会有一个前提：企业配备具备代码审计的人员，持续做开发安全运营。附静态代码分析工具大全（国外与开源版）：https://owasp.org/www-community/Source_Code_Analysis_Tools 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？在devops中做开发安全，会遇到哪些问题？如何实施安全需求？安全需求，有哪些来源？安全需求怎么实现自动化？实施安全需求，会遇到哪些难题？安全需求和安全设计有何异同及关联？设计阶段应开展哪些安全活动？有哪些不错的安全设计参考资料？安全设计要求怎么做才能落地？有哪些威胁建模方法论？有哪些威胁建模工具？如何开始或实施威胁建模？威胁建模和架构安全评审，有何异同？ SDL 18/100问：编码阶段，开展哪些安全活动？ 2、SDL最初实践系列开篇安全需求安全设计安全开发安全测试安全审核安全响应

CVE-2024-24576 Windows 下多语言命令注入漏洞分析

Wins0n

2 years ago

近期来自 Flatt Security Inc. 的 RyotaK 披露了 Windows 下多个编程语言的命令注入漏洞（漏洞被命名为 BatBadBut），其中 Rust 语言对应的漏洞编号为 CVE-2024-24576，因为 Rust 语言自带流量属性，国内安全/科技自媒体可能会使用一些怪异的标题来进行宣传。实际上，这个漏洞跟内存安全没有关系，是 Windows 下 cmd.exe 对命令行参数的特殊解析逻辑所导致的逻辑漏洞；此外，这个漏洞也不仅仅影响 Rust，像 PHP、Python 等语言均受影响。

Ke Liu

钓鱼邮件如何确定office附件宏的打开者身份？| 总第241周

君哥的体历

2 years ago

您有一份周报待查收......

Delinea has cloud security incident in Thycotic Secret Server gaff

Double Pulsar

2 years ago

Kevin Beaumont

蹭 Wi-Fi 会不会导致银行密码被盗

吴鲁加

2 years ago

最小化，最安全。

HackSpaceCon 2024: Short Trip Report, Slides and Rocket Launch

Embrace The Red

2 years ago

This week was HackSpaceCon 2024. It was the first time I attended and it was fantastic.

The conference was at the Kennedy Space Center! Yes, right there and the swag and talks matched the world class location.

The keynote “Buckle up! Let’s make the world a safer place” was by Dave Kennedy, who provided great insights on attacker strategies of the past and present, the importance of active threat hunting and challenges ahead. A great specific example he gave was how simple modifications to off-the-shelf malware (still) go entirely under the radar.