之前入门学习了k8s集群环境的搭建和基本概念包括框架、网络模型,部署与动态扩展服务的方法:
回归安全的课题上来,云安全本质上是传统安全在云原生环境下的重新思考。作为业内事实标准,k8s可以提供服务管理、扩容等诸多功能,是提供云原生能力的基石。
因此后面计划首先学习云安全分支下的k8s安全,并同时学习docker中的常见安全问题。这篇先学习OWASP Kubernetes Top Ten的前五个。
/image-20230917222234007.png)
本篇主要学习针对Java容器的内存马技术,即无文件webshell,由于这些容器运行在内存中,因而也难以检测。Java容器的内存马大体上可以分为:
- Servlet型
- Instrument型
本篇具体内容为Tomcat容器下的Servlet型中的Filter内存马原理和利用方法,另外两个类型原理和Filter类似。Tomcat版本为10。(关于Servlet)。
/e38ce0bab38f1b8757931db3f5dd7a8b.jpeg)
Java Instrument机制于JDK 1.5版本引入,是一种Java中的字节码增强技术(Bytecode Instrumentation)。可以理解为一种JVM级别的AOP实现方式,可以实现向JVM中一个运行时程序加载一个jar包、并由该jar包对运行时程序进行字节码修改的效果。最初目的为实现JVM监控和类的动态修改。作为插桩技术,其在安全领域的应用包括不限于RASP、IAST等。
IAST(Interactive application security testing)交互式应用安全检测是一种应用安全测试方法,由Gartner公司与2012年提出。基于instrumentation机制,IAST可以与依赖库进行交互,并从内部对运行时应用进行分析,实现对代码漏洞的发现和诊断。(图片来源[1])
gRPC是谷歌设计的一个开源RPC(Remote Process Call)框架,其基于谷歌开发的Protocol Buffer(也支持其他数据结构如JSON、XML等),提供了一种分布式系统内部各个微服务之间互相调用的方法,具有语言无关、平台无关、高效(HTTP/2)、安全(TLS)、可扩展性强的特点,已被广泛应用于诸多公司如:NetFlex、Square、Cisco等。
紧跟上一篇,继续补一下fastjson的审计,复现和分析范围包括1.2.47-1.2.80。
/33f3fdfdbd7163516bd4eb85bbcb34a7.png)
本篇学习一下Netty框架,Netty是一个Java实现的、非常流行的NIO网络编程框架,很多知名项目如a阿里的Dubbo、Spark、ElasticSearch、Hadoop、蚂蚁金服的SOFABolt、谷歌的gRPC等等。学习前建议先掌握Java中NIO相关API的使用,并理解Unix操作系统中I/O多路复用模型的理论。
