京东蓝军发现Apache Kylin 远程命令执行漏洞报告[CVE-2020-13925]
作者:京东安全clanceyz概要:6月,京东安全的蓝军团队发现了一个 apache kylin 远程命令执行严重漏洞( CVE-2020-13925)。黑客可以利用这个漏洞,登录任何管理员账号和密码…
还记得2018年京东举办的“黑客趴”吗?各路黑客大神都来了!攻破过NASA的BenjaminKunz Mejri曾“劫持”飞机的Hugo Teso著名的iOS越狱专家Nikias Bassen谷歌pr…
老铁,我想给你看个手相”“你看出啥嘞?”“你命里属于我们公司”不瞒你说,你长得好像我的同事哦~简历投递:jsrc@jd.com(简历投递请注明来自安全脉搏))(邮件标题【姓名+面试岗位】) …
JSRC小课堂第141期,邀请到R师傅(知道创宇安全工程师,ChaMd5安全团队成员)就京东的挖洞历程为大家进行分享,QQ开课群:464465695,同时感谢白帽子们的精彩讨论。京安小妹:是什么机缘让…
万物互联的时代正在来临,据不完全统计,全球物联网设备已达到70亿+,同时每年以20%左右的速度增长。从智能家居、智能生活到智慧城市,IoT设备早已深入人们的生活,为大家提供更高品质的生活服务,如常见的…
Android系统由于其开源的属性,市场上针对开源代码定制的ROM参差不齐,在系统层面的安全防范和易损性都不一样,Android应用市场对app的审核相对iOS来说也比较宽泛,为很多漏洞提供了可乘之机…
自1982年互联网诞生至今,电子邮件一直是各大互联网公司核心的沟通方式。全球每小时发送的邮件数量超过30亿封,邮件也是黑客最为青睐的获取个人or公司机密的途径,如何保护邮件的安全?JSRC小课堂第13…
上周五在QQ群里讲师就本期主题和大家进行了交流小妹为大家整理了课堂内容并沉淀如果有所收获的话也可以将它分享让更多的人加入JSRC安全小课堂内网渗透中,我们经常会进行dump hash等操作。这个过程往…
讲师介绍Venscor,京东安全工程师,擅长Java代码审计,安全分析与加固,移动安全背景介绍Java 序列化是指把 Java 对象转换为字节序列,便于保存在内存、文件、…
红队的起源是出现在军事领域方面,人们意识到,要做到更好的防守,就需要去攻击自己的防御,才能更好的找到防守的弱点。在国内,进攻方为蓝军,防守方为红军。蓝军我自己习惯称为RedTeam,红蓝对抗的意义在于…
随着业务发展,越来越多的Web应用需要与公司内部其他应用甚至外部第三方应用交互,将用户引导至不同功能页面。在不同功能页面跳转的过程中难免出现一种常见且利用门槛较低的漏洞——URL跳转漏洞,该漏洞像XS…
从代码审计的环境基础开始,层层的拆解开,如何快速的搭建并审计java应用,怎么审计最快,怎么能在黑盒测试的时候站在白盒开发的角度想漏洞。JSRC 安全小课堂第133期,邀请到ayound师傅…
从代码审计的环境基础开始,层层的拆解开,如何快速的搭建并审计java应用,怎么审计最快,怎么能在黑盒测试的时候站在白盒开发的角度想漏洞。JSRC 安全小课堂第132期,邀请到jkgh006师…
越权漏洞是Web应用程序中一种常见的安全漏洞,攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。JSRC 安全小课堂…
JSRC从2013年成立到现在,白帽师傅和我们共同经历了6个春秋,在这些不长不短的日子里,JSRC积累了一箩筐的白帽子成长故事。这些白帽子故事,有些感人,有些励志,也有些坎坷。看上去,白帽子们的日子很…