云安全
文章平均质量分 81
_HWHXY
Sec For All All For Sec
展开
-
【Web】云安全之元数据服务
本文详细介绍了元数据相关的一些知识点,以及如何通过元数据泄露-获取角色信息-获取角色临时凭证-通过凭证进一步获取资源。原创 2023-06-05 02:34:42 · 684 阅读 · 0 评论 -
【WEB】gunicorn走私漏洞
但其他的代理服务器则会认为是一个请求,因为没有Sec-Websocket-Key1的逻辑。这里需要自己计算不同的content-length在不同的proxy中的请求体内容。例如前端haproxy拒绝访问POST请求,但是gunicorn可以访问。那么借此就可以绕过gunicorn之外的一些服务器的限制。那么就将content_length强制赋值为8。burp开启自动更新则可以计算body的大小。gunicorn会认为上述请求是两个请求。关闭则可以自己repeat poc。则可以利用上述POC构造。原创 2022-12-16 14:57:01 · 1048 阅读 · 0 评论 -
【Web】HAProxy走私漏洞
JFrog安全研究团队发布了一个HAProxy的严重漏洞的信息。HAProxy是一个使用C语言编写的自由及开放源代码软件,其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。参考文章:https://jfrog.com/blog/critical-vulnerability-in-haproxy-cve-2021-40346-integer-overflow-enables-http-smuggling/原创 2022-12-16 12:32:05 · 616 阅读 · 0 评论