全部安全开发新闻数码摄影汽车北京AIIT其他
  • 文章封面

    Entra条件访问策略中的时间后门

    作者:云原生安全指北发布日期:2026-04-21 08:35:00

    注:本文翻译自 Reversec 的文章《It's Just a Matter of Time: Backdooring Conditional Access Policies》[1],可点击文末“

    阅读全文
  • 文章封面

    打破K8s命名空间隔离:CVE-2026-4789 Kyverno漏洞详解

    作者:云原生安全指北发布日期:2026-04-13 08:35:00

    注:本文翻译自 ORCA Security 的文章《Kyverno SSRF: Breaking Kubernetes Namespace Isolation (CVE-2026-4789)》[1]

    阅读全文
  • 文章封面

    CVE-2026-34040:Docker授权绕过漏洞剖析

    作者:云原生安全指北发布日期:2026-04-10 08:35:00

    注:本文翻译自 Cyera 的文章《One Megabyte to Root: How a Size Check Broke Docker’s Last Line of Defense》[1],可点

    阅读全文
  • 文章封面

    VMware 17.0.0虚拟机逃逸实践

    作者:云原生安全指北发布日期:2026-04-07 08:35:00

    注:本文翻译自 r0keb[1] 的文章《VMware Guest To Host》[2],可点击文末“阅读原文”按钮查看英文原文。全文如下:一、引言早上好!今天我们将完整演示如何在 VMware(

    阅读全文
  • 文章封面

    无需PassRole也能提权:Lambda配置权限风险分析

    作者:云原生安全指北发布日期:2026-04-02 08:35:00

    注:本文翻译自 Plerion 的文章《"But without PassRole it should be fine", Lambda edition》[1],可点击文末“阅读原文”按钮查看英文原

    阅读全文
  • 文章封面

    别等下一个 Trivy:开源ABOM工具看清你所有GitHub Actions依赖

    作者:云原生安全指北发布日期:2026-03-31 08:35:00

    注:本文翻译自 Juliet Security Team 的文章《Introducing the ABOM: Why Your CI/CD Pipelines Need a Bill of Mate

    阅读全文
  • 文章封面

    LiteLLM供应链攻击解析:三层架构,一个僵尸网络

    作者:云原生安全指北发布日期:2026-03-27 08:57:48

    注:本文翻译自de Março[1]的文章《Anatomia de um Infostealer Moderno: Três Camadas, Uma Botnet》[2],可点击文末“阅读原文”按

    阅读全文
  • 文章封面

    从目录删除到RCE:GCP Looker漏洞剖析

    作者:云原生安全指北发布日期:2026-03-25 08:35:00

    注:本文翻译自 GMO Flatt Security 的文章《Remote Command Execution in Google Cloud with Single Directory Delet

    阅读全文
  • 文章封面

    云攻击检测:以TeamPCP攻击链为例

    作者:云原生安全指北发布日期:2026-03-24 08:35:00

    注:本文翻译自 Elastic Security Labs的文章《Linux & Cloud Detection Engineering - TeamPCP Container Attack Sce

    阅读全文
  • 文章封面

    AWS云安全加固Checklist

    作者:云原生安全指北发布日期:2026-03-20 08:35:00

    注:本文翻译自Apaksh[1]的文章《AWS Security Hardening: The Checklist Your Cloud Needs》[2],可点击文末“阅读原文”按钮查看英文原文。

    阅读全文
  • 文章封面

    AppArmor漏洞剖析:绕过命名空间限制&提权

    作者:云原生安全指北发布日期:2026-03-17 08:35:00

    注:本文翻译自 Qualys 的文章《CrackArmor: Multiple vulnerabilities in AppArmor》[1],可点击文末“阅读原文”按钮查看英文原文。全文如下:摘要

    阅读全文
  • 文章封面

    桶劫持(终于)已死

    作者:云原生安全指北发布日期:2026-03-16 08:34:09

    注:本文翻译自 Ian Mckay 的文章《Bucketsquatting is (Finally) Dead》[1],可点击文末“阅读原文”按钮查看英文原文。全文如下:摘要S3 桶现在有了一个新的

    阅读全文
  • 文章封面

    CVE-2026-26117剖析:Azure Arc本地提权&云身份劫持

    作者:云原生安全指北发布日期:2026-03-12 08:35:00

    注:本文翻译自 Cymulate 的文章《CVE-2026-26117: Hijacking Azure Arc on Windows for Local Privilege Escalation

    阅读全文
  • 文章封面

    云加密劫持案例:利用Hetzner救援模式注入XMRig

    作者:云原生安全指北发布日期:2026-03-09 08:35:00

    注:本文翻译自 Innora 的文章《Anatomy of a Cloud Cryptojacking Campaign: XMRig via Hetzner Rescue Mode with Mu

    阅读全文
  • 文章封面

    Azure DevOps权限提升漏洞分析

    作者:云原生安全指北发布日期:2026-03-06 08:35:00

    注:本文翻译自 Daze Security 的文章《Azure DevOps Privilege Escalation via OIDC Abuse》[1],可点击文末“阅读原文”按钮查看英文原文。

    阅读全文
  • 文章封面

    容器逃逸新方法:潜伏20年的Linux漏洞CVE-2025-38617剖析

    作者:云原生安全指北发布日期:2026-03-05 09:18:17

    注:本文翻译自 Calif[1] 的文章《A Race Within A Race: Exploiting CVE-2025-38617 in Linux Packet Sockets》[2],可点

    阅读全文
  • 文章封面

    OAuth重定向滥用:钓鱼&恶意软件投递攻击手法解析

    作者:云原生安全指北发布日期:2026-03-04 08:35:00

    注:本文翻译自 Microsoft 的文章《OAuth redirection abuse enables phishing and malware delivery》[1],可点击文末“阅读原文”

    阅读全文
  • 文章封面

    当AI攻击CI/CD:hackerbot-claw如何实现Github仓库接管

    作者:云原生安全指北发布日期:2026-03-03 08:35:00

    注:本文翻译自 StepSecurity 的文章《hackerbot-claw: An AI-Powered Bot Actively Exploiting GitHub Actions - Mic

    阅读全文
  • 文章封面

    开源发布!CloudFox GCP:谷歌云攻击路径测绘工具

    作者:云原生安全指北发布日期:2026-02-28 08:38:23

    开源工具地址:https://github.com/BishopFox/cloudfox注:本文翻译自Bishop Fox的文章《Introducing CloudFox GCP: Attack P

    阅读全文
  • 文章封面

    告别静态密钥:tokenex实现Azure动态短期凭证交换

    作者:云原生安全指北发布日期:2026-02-27 08:35:00

    注:本文翻译自 Riptides 的文章《Secretless Azure access with tokenex: Federated Identity via User-Assigned Man

    阅读全文
  • 文章封面

    Entra ID授权攻击案例解析&防御指南

    作者:云原生安全指北发布日期:2026-02-26 08:35:00

    注:本文翻译自 Red Canary 的文章《ChatGPT in your inbox? Investigating Entra apps that request unexpected perm

    阅读全文
  • 文章封面

    AWS联合SANS举办CTF,优胜者可获免费培训

    作者:云原生安全指北发布日期:2026-02-25 08:35:00

    报名地址:https://app.brazenconnect.com/events/bJK18比赛开始时间:北京时间 2026年3月11日 22:00-23:00注:本文翻译自赛事官网《Captur

    阅读全文
  • 文章封面

    密钥泄露事件应急响应预案编写指南

    作者:云原生安全指北发布日期:2026-02-24 08:35:00

    注:本文翻译自 gitguardian - Tiexin Guo[1] 的文章《Responding to Exposed Secrets - An SRE's Incident Response

    阅读全文
  • 文章封面

    CVE-2026-22039:Kyverno授权绕过漏洞深度剖析

    作者:云原生安全指北发布日期:2026-02-14 08:35:00

    注:本文翻译自 minimus 的文章《CVE-2026-22039: Kyverno Authorization Bypass - Minimus》[1],可点击文末“阅读原文”按钮查看英文原文。

    阅读全文
  • 文章封面

    Azure DevOps代理通信劫持:从RCE到云权限提升

    作者:云原生安全指北发布日期:2026-02-13 08:35:00

    注:本文翻译自 Critical Thinking - Diyan Apostolov 的文章《Azure DevOps Agent Interception》[1],可点击文末“阅读原文”按钮查看

    阅读全文
  • 文章封面

    CVSS 10.0!Rancher漏洞致K3s集群面临容器逃逸风险

    作者:云原生安全指北发布日期:2026-02-12 08:35:00

    注:本文翻译自 ORCA Security 的文章《Path Traversal in Rancher Local Path Provisioner Enables Host Filesystem

    阅读全文
  • 文章封面

    GCP Apigee跨租户读写漏洞剖析

    作者:云原生安全指北发布日期:2026-02-11 08:35:00

    注:本文翻译自 Omer Amiad[1] 的文章《GatewayToHeaven: Finding a Cross-Tenant Vulnerability in GCP's Apigee》[2]

    阅读全文
  • 文章封面

    蠕虫式云攻击:揭秘TeamPCP新兴云原生勒索组织

    作者:云原生安全指北发布日期:2026-02-10 08:35:00

    注:本文翻译自 Flare - Assaf Morag 的文章《Threat Alert: TeamPCP, An Emerging Force in the Cloud Native and Ra

    阅读全文
  • 文章封面

    Docker AI助手漏洞:一个标签即可导致RCE与数据窃取

    作者:云原生安全指北发布日期:2026-02-09 08:35:00

    注:本文翻译自 NOMA Security 的文章《DockerDash: Two Attack Paths, One AI Supply Chain Crisis》[1],可点击文末“阅读原文”按

    阅读全文
  • 文章封面

    深入剖析GCP Looker漏洞:从RCE到跨租户数据泄露

    作者:云原生安全指北发布日期:2026-02-06 08:35:00

    注:本文翻译自Tenable的文章《LookOut: Discovering RCE and Internal Access on Looker (Google Cloud & On-Prem)》[

    阅读全文
下一页