只能说在国内我见到装了杯子的Linux服务器一只手数的过来;大的攻击面在哪?内网信创终端?
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
evilsocket
Attacking UNIX Systems via CUPS, Part I
每每因为工作需要翻二十年前的老代码和近年的新代码,从史山脚爬到史山顶,总得反反复复感慨,搞金融科技,除去核心以外的各类业务逻辑和报文交换业务,20年间究竟发展了些什么?就渠道交易来看,Jvav写的业务没有比当年C写的更复杂,但C+socket+定长分割+内存中数据结构魔法写的老业务,在AIX上一台机可以开20个测试环境;而Jvav+各种重量级RPC中间件等,一个测试环境就要20个VM;其可用性可扩展性(抛开架构师对自己的分布式微服务横向扩展的鼓吹)结果上来看也没能超过C。人们始终避而不谈房间里的大象,近些年来,国内业务开发涉及的“系统”技术的发展只是为了向多数(便宜且招得到的)的废物程序员妥协,砸十倍的人力换两三倍的业务动力(因为承认自己是废物很难)。业务开发领域说“业务更重要”倒也没问题,可是许多Jvav高工干的活 not even a biz dev.
Most companies don't trust their developers to write secure code. And with good reason because for every 10 developers that can write that basic 20-page crud app, only one of them is going to produce something that's not garbage.
https://www.reddit.com/r/dotnet/comments/1flhe91/comment/lo3rnt6/
Reddit
xabrol's comment on "Do you still use store procedures? "
Explore this conversation and more from the dotnet community
Forwarded from 渗透/安全推送中心
渗透/安全推送中心 @cvebird
创建者:cooker-sast
项目描述:Collection of sinks for Java vulnerability research 收集Java漏洞挖掘常见sink
项目链接:https://github.com/cooker-sast/sinks
#漏洞
创建者:cooker-sast
项目描述:Collection of sinks for Java vulnerability research 收集Java漏洞挖掘常见sink
项目链接:https://github.com/cooker-sast/sinks
#漏洞
Forwarded from Hacker News
The C23 edition of Modern C (🔥 Score: 159+ in 2 hours)
Link: https://readhacker.news/s/6gj3K
Comments: https://readhacker.news/c/6gj3K
Link: https://readhacker.news/s/6gj3K
Comments: https://readhacker.news/c/6gj3K
Jens Gustedt's Blog
The C23 edition of Modern C
The C23 edition of Modern C is now available for free download from This new edition has been the occasion to overhaul the presentation in many places, but its main purpose is the update to the new…
省流:最近有人撞库微软账号
看了下我审计日志每天只有几笔登录失败应该还好,但微软账户这种比较重要的资产,MFA应开尽开
https://fixupx.com/changwei1006/status/1846988988168785935
看了下我审计日志每天只有几笔登录失败应该还好,但微软账户这种比较重要的资产,MFA应开尽开
https://fixupx.com/changwei1006/status/1846988988168785935
FxTwitter / FixupX
Chang Wei 昌维 (@changwei1006)
『威胁情报』
最近有人在撞库微软账户,切记不要全平台使用同一个账号密码,如果各位发现微软2FA验证已经有弹窗说明撞库成功,请立即更改密码
包括我在内,很多人的微软账户会关联onedrive,里面可能会有重要数据,例如bitlocker的恢复密钥,他也是office文档的默认云端存储位置,可能会有个人文档数据
最近有人在撞库微软账户,切记不要全平台使用同一个账号密码,如果各位发现微软2FA验证已经有弹窗说明撞库成功,请立即更改密码
包括我在内,很多人的微软账户会关联onedrive,里面可能会有重要数据,例如bitlocker的恢复密钥,他也是office文档的默认云端存储位置,可能会有个人文档数据
💊1
老天爷你搞错了吧,我应该是拿3A6000裸板对着osdev写bootkit,从指令集到协议栈Fuzz出无条件组合RCE,抱着ThinkPad X240在Zune 30G点亮主线,拿一堆cvss==9.9参加USENIX conference的青春女大,而不是连osep lab的垃圾免杀都没力气做只能躺在床上恍惚等到明天出差应酬被客户灌个大醉的死人
Pseudorandom Thoughts
Photo
哦对了,说到这个,如果不是为了拿OSCE3的话,我不建议买WE的Learn One,你要真想复盘web业务漏洞挖掘就先去考个OSWA玩玩,再随手裸考WE,因为WE题目思路和难度跟WA是一样的,然而WA要求是24小时黑盒做出3.5/5道,WE要求是48小时白盒做出1.5/2道,显然前者比较激发潜能。WE唯一的难点在于要你提交零交互PoC,而这哪怕对于电脑初级低手来说也只不过是
import requests或者import "net/http"的事情。不知道为什么OffSec把WE标作300系,真有脚本小子不会写脚本?Forwarded from 🐱 Ch. | 挪瓦咖啡配苕皮套餐 TV (webRTCCat | Present Day, Present Time)
蠢人看见字节被投毒还在笑,聪明人已经学会用 godot, huggingface 和 pytorch 拿 pickle 做白加黑了,必可活用于下一次啊
example: https://github.com/fash394pdmi/1ad-FinalFantasy14d/releases/tag/lv1wlsw68r
example: https://github.com/fash394pdmi/1ad-FinalFantasy14d/releases/tag/lv1wlsw68r
Forwarded from 咕 Billchen 咕 🐱 抹茶芭菲批发中心 (billchenchina | Nya!)