在学习Spring Framework的时候接触过AOP的相关内容—>Spring基础学习 - AOP机制 · f10@t's blog (f10at.cn)。
但是当时没有记录使用注解的方式,且仅学习了Advisor没有了解其与Aspect的联系和区别,遂补一个坑。
曾写过一篇文章"微服务入门-5W和微服务思想",想要搞清楚微服务是什么?来源?作用?微服务架构本质上是分布式架构,这方面我没有经验或理论基础,因此对微服务技术本身的目的和体系也是一知半解。
最近阅读了一本22年的书《分布式系统架构与开发》,作者是郑天民。基于该书的内容重新整理关于一下微服务技术及其生态的"思维导图"。
紧接上一篇,继续学习剩下的漏洞类型。(ps:上一次的环境有一些问题,我重新用ubuntu20搭建了。如果也有学习这块但嫌环境麻烦的小伙伴,可以私信我要虚拟机,联系方式见头像下方,一起学习和讨论。
剩下的K5-K10主要是开发人员在k8s网络配置、资源配置文件、开发程序打包时存在的一些配置问题。
/image-20230917222234007.png)
之前入门学习了k8s集群环境的搭建和基本概念包括框架、网络模型,部署与动态扩展服务的方法:
回归安全的课题上来,云安全本质上是传统安全在云原生环境下的重新思考。作为业内事实标准,k8s可以提供服务管理、扩容等诸多功能,是提供云原生能力的基石。
因此后面计划首先学习云安全分支下的k8s安全,并同时学习docker中的常见安全问题。这篇先学习OWASP Kubernetes Top Ten的前五个。
本篇主要学习针对Java容器的内存马技术,即无文件webshell,由于这些容器运行在内存中,因而也难以检测。Java容器的内存马大体上可以分为:
- Servlet型
- Instrument型
本篇具体内容为Tomcat容器下的Servlet型中的Filter内存马原理和利用方法,另外两个类型原理和Filter类似。Tomcat版本为10。(关于Servlet)。
/e38ce0bab38f1b8757931db3f5dd7a8b.jpeg)
Java Instrument机制于JDK 1.5版本引入,是一种Java中的字节码增强技术(Bytecode Instrumentation)。可以理解为一种JVM级别的AOP实现方式,可以实现向JVM中一个运行时程序加载一个jar包、并由该jar包对运行时程序进行字节码修改的效果。最初目的为实现JVM监控和类的动态修改。作为插桩技术,其在安全领域的应用包括不限于RASP、IAST等。
IAST(Interactive application security testing)交互式应用安全检测是一种应用安全测试方法,由Gartner公司与2012年提出。基于instrumentation机制,IAST可以与依赖库进行交互,并从内部对运行时应用进行分析,实现对代码漏洞的发现和诊断。(图片来源[1])
