Tản mạn Bài này mình sẽ phân tích CVE mới nhất của apache OFIBZ là CVE-2021-30128. Vì theo như một người anh đã nhắc nhở. Ban đầu sau bài viết lần trước về CVE-2021-26295 thì mình định phân tích tiếp về CVE-2021-29200. Nhưng CVE-2021-29200 sử dụng một cách bypass để vẫn có thể sử dụng RMI để RCE. Tuy nhiên thì như mình thấy các chain như JRMPClient trong các poc được public trên mạng thì còn phụ...
May Fest Apache OFIBZ CVE-2021-30128 cyber security
Bài thứ 6 chuỗi series hướng dẫn lập trình an toàn cho lập trình viên, bài viết tiếp theo trong: Secure coding for developers sẽ tiếp tục với nội dung Database Security và File Management. Quản trị tốt cơ sở dữ liệu cũng như hệ thống lưu trữ file là vấn đề quan trọng và cần ưu tiên hàng đầu trong các vấn đề bảo mật website. Đây thường là nơi chứa các thông tin nhạy cảm, thông tin quan trọng...
web security May Fest cyber security secure coding guide
Progpilot là công cụ phân tích source code PHP với mục đích tìm các lỗ hổng bảo mật. Progpilot là công cụ phân tích tĩnh và sử dụng kỹ thuật taint checking để tìm lỗi. Với kỹ thuật này thì khả năng báo lỗi chính xác hơn so với kỹ thuật phân tích thông thường như regex chẳng hạn. Progpilot có hỗ trợ tìm lỗi trên các framework như: wordpress, symfony, codeigniter, prestashop, suitecrm. Trong bài này mình...
PHP cyber security static code analysis progpilot