JetBrains TeamCity關鍵漏洞在近日被修復

近日，研究人員發現JetBrains TeamCity CI CD服務器存在兩個嚴重的身份驗證繞過漏洞，分別為CVE-2024-27198和CVE-2024-27199，該漏洞可讓未經身份驗證的遠程攻擊者通過管理權限控制服務器。這兩個漏洞是由 Rapid7 的首席安全研究員 Stephen Fewer 發現的，并于 2 月中旬報告給 JetBrains。由于提供了創建漏洞的完整技術細節，因此強烈建

報告評出了CVSSv3評分超過9分的五大最危險API漏洞，其中Spring4Shell和Veeam RCE高居2022年第一季度API漏洞榜單榜首。雖然加密失敗、不安全設計、過多數據暴露和錯誤配置在內的安全漏洞也出現在榜單中，但2022年第一季度披露的最危險、被利用最多的API漏洞都與注入攻擊、不正確的授權或完全繞過以及不正確的權限分配有關。

整個2020年，勒索軟件活動變得越來越多,依賴于一個由不同但共同啟用的操作組成的生態系統，以便在進行敲詐勒索之前獲得對感興趣目標的訪問權限。Mandiant威脅情報部門已經追蹤了數個加載程序和后門活動，這些活動導...

「眾所周知，關于cs相關的資料都非常的少，并且是打得特別緊，特別是這兩年各個安全廠商對cs相關的內容都給予了特征識別等嚴重的打擊，例如vultr網站會檢測特征并關停服務器，我們可以同個多種方式更改特征繞過，接下來我們來講更改cs的算法進行繞過。例如下面這樣」

軟件成分分析工具可以洞察開源軟件組件及其存在的漏洞，對應用程序進行安全檢測，實現安全管理，是最行之有效的方法之一。

項目安裝迷你天貓商城是一個基于Spring Boot的綜合性B2C電商平臺，需求設計主要參考天貓商城的購物流程：用戶從注冊開始，到完成登錄，瀏覽商品，加入購物車，進行下單，確認收貨，評價等一系列操作。作為迷你天貓商城的核心組成部分之一，天貓數據管理后臺包含商品管理，訂單管理，類別管理，用戶管理和交易額統計等模塊，實現了對整個商城的一站式管理和維護。

URLDNS鏈子是Java反序列化分析的第0課，網上也有很多優質的分析文章。筆者作為Java安全初學者，也從0到1調試了一遍，現在給出調試筆記。Java原生鏈反序列化：利用Java.io.ObjectOutputStream對象輸入流的readObject方法實現將字節序列轉化成對象。測試源碼如下，此部分源碼參考了ol4three師傅的博客：package?將輸出字節流寫入文件中進行封存。讀取字節流操作為readObject,所以重寫readObject可以執行自定義代碼。影響的版本問題：與JDK版本無關，其攻擊鏈實現依賴于Java內置類，與第三方庫無關?

工具本身沒有好壞，但如果能充分利用好的工具，往往能達到意想不到的效果，安全行業尤其如此。這期推薦的是一些免費而且很優秀的安全軟件工具，無論是滲透測試，開源情報，還是漏洞評估，都能讓安全人的日常工作更輕松。將近20款最好的免費安全工具，最實用的干貨分享，沒時間的朋友，建議先馬再看！

JRE：Java Runtime Environment是Java運行時環境，包含了java虛擬機，java基礎類庫安裝過程：1）雙擊啟動安裝程序2）默認安裝路徑3）jre路徑選擇4）配置環境變量JAVA_HOME. 這里介紹幾款不錯的安卓模擬器。

Support screen readers: 為 IntelliJ IDEA 啟用屏幕閱讀器支持。 User contrast scrollbars: 使編輯器滾動條更加可見。 Adjust color for red-green vision deficiecy: 調整 UI 顏色，以更好地感知色盲和弱視的顏色。 在這種情況下，代碼片段（例如通常以紅色突出顯示的錯誤或通常為綠色的字符串）