2018年12月10日,ThinkPHP v5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞.阿里云态势感知已捕获多起基于该漏洞的真实攻击,并对该漏洞原理以及漏洞利用方式进行分析.现在,对于云上未及时进行系统更新的用户,阿里云态势感知已提供攻击告警,WAF产品支持同步拦截,目前云上客户基本未受到影响. 此次漏洞由ThinkPHP v5框架代码问题引起,其覆盖面广,且可直接远程执行任何代码和命令.电子商务行业.金融服务行业.互联网游戏行业等网站使用该ThinkPHP框架比较多,需要格外关…

2019年4月4日,阿里云安全应急响应中心监测到Confluence 官方发布安全更新指出,Widget Connector 存在服务端模板注入漏洞,攻击者能利用此漏洞实现目录穿越遍历甚至远程命令执行.4月10日远程命令执行PoC被公开,阿里云监测到此漏洞被大规模利用,4月12日凌晨攻击流量达到第二次高峰. 4月6日出现第一次大规模攻击,全天攻击次数超过5000次,阿里云WAF默认规则均成功防御.攻击特征为任意文件读取,攻击者通过构造特定请求读取本地敏感文件信息. 直到4月7日,第一波攻击结束,…

近日,Kubernetes社区发现安全漏洞 CVE-2018-1002105,阿里云容器服务已在第一时间完成全面修复,敬请广大用户登录阿里云控制台升级Kubernetes版本. 目前Kubernetes开发团队已经发布V1.10.11.V1.11.5修复补丁,阿里云容器服务也已在第一时间完成漏洞全面修复,用户登录阿里云控制台即可一键升级. 更多信息可以移步公告<关于Kubernetes CVE-2018-1002105 提权漏洞的修复公告> 漏洞发现后的措施 具体而言有一下几种情况供大家参考:…

4月24日,在中国联通合作伙伴大会的 “5G MEC(Mobile Edge Computing,移动边缘计算)边缘云赋能行业数字化转型”分论坛上,阿里云“基于5G边缘计算的新零售应用案例”荣获2019年度MEC优秀商用案例奖,加速赋能5G MEC的新零售场景,推动产业发展. 在新零售时代,阿里巴巴对人-货-场进行重构,进一步提供服饰.快消.消费电子.美家.汽车.商超连锁.房地产.餐饮.旅游等场景解决方案.阿里云边缘计算基于十年飞天技术沉淀与顶尖AI技术加持,同时结合了阿里集团在新零售领域的生态…

前言 因为之前有个新浪的图床,还挺好用,而且免费,自己博客的图片上传到其上面也挺方便的,但是,前几周吧,突然图片就不能访问了,之前本来是想通过添加 meta 头来解决的,但是发现没有效果.于是就自己搞了个 阿里云的OSS, 主要用作为 图床.前段时间因为数据分析写报告时,特地学了Shell,刚好Shell 就适合来处理这种数据量不是很大的数据,于是就花了点时间来迁移图床了. 前提准备 阿里云OSS 开通 Shell 基础知识 curl awk cut 最好有博客园API Post Blog 这个…

转自:http://www.gamelook.com.cn/2018/01/319420 根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的游戏市场收入超过美国和日本,成为全球榜首. 游戏行业的快速发展.高额的攻击利润.日趋激烈的行业竞争,让中国游戏行业的进军者们,每天都面临业务和安全的双重挑战. 游戏行业一直是竞争.攻击最为复杂的一个江湖. 曾经多少充满激情的创业团队.玩法极具特色的游戏产品,被互联网攻击的问题扼杀在摇篮里:又有多少运营…

苦逼熬夜近俩月的时间搞出来个小东东,还指望它能给自己捞点~  结果刚上线没多久就遭到竞争对手疯狂的ddos攻击. 可怜的阿里云默认只能抗住5G的攻击,超出的直接黑洞,也是很无奈,然而能免费抗5G这在国内已经没有几家可以做到了. 一旦被黑洞就面临30分钟-2.5小时的无法访问,这样对网站的用户体验来说是很糟糕的. 于是乎不停的寻找破解之法,当然以牙还牙,给对方一个警告还是要有的. 当然对方也是弱鸡一只,一打就挂,然而就是这样他们竟然还不停的发起挑衅,真是杀敌1000自损800也要干下去的节奏,不知…

6月11日,阿里云安全团队发现WebLogic CVE-2019-2725补丁绕过的0day漏洞,并第一时间上报Oracle官方, 6月12日获得Oracle官方确认.由于Oracle尚未发布官方补丁,漏洞细节和真实PoC也未公开,为保障客户的安全性,阿里云Web应用防火墙(WAF)紧急更新规则,已实现对该漏洞的默认防御. 一.漏洞简介 WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,被广泛应用于保险.证券.银行等金融领域. 此次发…

参考:http://www.thinkphp.cn/extend/789.html 1.前往阿里云github下载SDK包:https://github.com/aliyun/aliyun-oss-php-sdk/releases. 这里介绍源码部署:Source code下载下来..phar其实就是一个打包文件,直接引用后就能用,大家自己去试试吧,功能是一样的. 2.将下载下来的压缩包解压后放到项目ThinkPHP\Library\Vendor\aliyun路径下.aliyun文件夹是我自己建…

解决:wordpress WPImageEditorImagick 指令注入漏洞 前些天在阿里云服务器上安装了wordpress,阿里云提示有wordpress WP_Image_Editor_Imagick 指令注入漏洞 解决思路: 1.查是否已安装该程序 # rpm -q ImageMagick ImageMagick-6.7.8.9-15.el7_2.x86_64 尝试升级,发现已经是最新版 # yum install ImageMagick -y Loaded plugins: lang…