陌陌是去年十月份开始接触IAST技术，因为陌陌现有的自动化安全测试体系，并不能满足我们的需求。目前除了IAST技术之外，SAST、DAST这两项技术在陌陌都已经有了落地的实践，我们在上线前有针对源码层面的白盒扫描器，也有对线上业务进行扫描的黑盒扫描器，这两项技术都有自己的用武之地，当然也有一些弊端。

文章首发于：火线Zone社区作者：李祥乾我今天主要分享云原生时代下的DevSecOps，分享一下我们客户在云原生时代下的持续安全实践。大概摘要：安全可能对于很多业务开发与运维来说，是“麻烦”与“被动”。相比传统，云原生架构具备了一系列特性，使安全能够更低摩擦地内生于企业流程之中，内生于DevOps之中。希望与大家讨论的...

文章首发于：火线Zone社区本文主要介绍谷歌云对象存储攻防的方式。01存储桶配置错误-公开访问当创建的存储桶配置了allUsers拥有GCS对象的读取权限时，该存储桶可以被任何用户公开访问。02Bucket爆破当不存在时访问会提示NoSuchBucket。当存在时会出在下面情况，公开访问和拒绝访问。03Bucket Object 遍历当对allUsers配...

编译镜像时的业务实现类似下面这样，其中image_name_tag、dockerfile_file、dockerfile_path变量都是从外部web入口传入的。

文章首发于：火线Zone云安全社区作者：马景贺如何用听起来很长、实践起来很难的DevSecOps，帮大家很happy地把安全软件构建出来。我叫小马哥，目前是在极狐GitLab做DevOps技术布道师，把我的经验分享给大家。今天分享的内容分为三部分：安全的一些比较奇怪的现象。DevSecOps怎么就这么火爆了。基于经验给大家构建了一个De...

笔者之前在Web漏洞挖掘指南 -SSRF服务器端请求伪造介绍了SSRF某些场景下的利用和绕过方法,有时开发对于SSRF的限制可能是简单的禁用内网地址来实现的，这时如果传入一个外网地址，将其重定向至内网地址，则可以绕过限制对内网服务器发出请求。

文章首发于：火线Zone云安全社区作者：ClareClare是安全架构师，专注于信息安全攻防研究和深度测试，今天分享的主题是“云原生安全实践”。我讲的议题是，云原生安全实践，主要从两个方面来介绍云原生安全。第一个是云原生安全面临的风险第二个是云原生安全实践云原生的定义：它是一种构建和运行应用程序的现代方法，它主...

文章转载自：火线Zone社区作者：汪照辉说到DevOps解决的核心问题？他并不是简单的话把运维干掉。为什么团队开发运维方式备受诟病？说到底还是一个效率问题，因为研发和运维之间的利益是不一致的，所以导致效率就很低下。其实DevOps目的最重要的理顺研发和运维之间的关系，能满足彼此之间的关系，调动大家积极性，从而提...

@A1：我认为这两个都是伪问题，没有研究价值，类似IT行业的气功治疗法。多云管理是资源纳管平台，实现基础设施资源统一管理和调度。云计算解决的是分布式网格计算问题，也就是算力问题。也就等同于利用CPU、内存、存储、网络等基础设施资源实现分布式计算、网格计算能力，通过提供标准化的基础设施资源计算服务（IaaS服...

文章首发于：火线Zone社区01Bucket 公开访问腾讯云存储桶的访问权限默认为私有读写权限,且存储桶名称会带上一串时间戳：账户中的访问策略包括用户组策略、用户策略、存储桶访问控制列表（ACL）和存储桶策略（Policy）等不同的策略类型。当腾讯云 COS 收到请求时，首先会确认请求者身份，并验证请求者是否拥有相关权限。...

文章首发于：火线Zone社区作者：ricky01Blob配置错误-公开访问在创建存储账户时，默认是启用Blob公共访问的，当创建容器的访问级别配置为容器（匿名读取访问容器和blob）时，就会导致匿名请求枚举容器中的 blob。当配置访问级别为专用或禁用Blob公共访问时，提示ResourceNotFound。当配置访问级别为Blob(仅匿名读取访问b...

文章首发于：火线Zone社区作者：高鹏高鹏，火线云安全实验室成员，今天分享的主题是《浅析云存储的攻击利用方式》。本次的议题，关于云存储的一个攻击利用方式，在SRC漏洞挖掘，或在火线安全平台的众测项目中，我们也会收到很多关于对象存储的一个劫持和权限配置的一些问题，对象存储在安全这一块也是一个不可忽略的方向...