新闻
数据库安全
收下这张小贴士,填补那些年在HQL注入留下的坑
HQL查询并不直接发送给数据库,而是由hibernate引擎对查询进行解析并解释,然后将其转换为SQL。为什么这个细节重要呢?因为有两种错误消息来源,一种来自hibernate引擎,一种来自数据库。
漏洞
励志鸡汤:新手视角分析Atlassian Crowd RCE - CVE-2019-11580
Crowd是一个单点登录和用户身份管理工具,从获取到的信息中得知,攻击目标使用的是Crowd较早的版本。
行业
区块链时代的黑产致富经
Ars Technica近期的一篇关于区块链货币盗窃案报道就讲述了iotaseed.io(目前已经关站),是如何通过生成恶意Seed地址从用户钱包盗取价值400万美元的IOTA币。该文章没有对相关代码进行分析,只是让我们知道有这么一个骚操作。