赏金猎人系列-如何测试sso相关的漏洞(II)声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责...
五种不寻常的身份验证绕过技术
身份验证绕过漏洞是现代web应用程序中普遍存在的漏洞,也是隐藏最深很难被发现的漏洞。为此安全防护人员不断在开发新的认证方法,保障组织的网络安全。尽管单点登录(SSO)等工具通常是对旧的登录用户方式的改...
Web安全 | 本地提权初探
点击上方“蓝字”,关注更多精彩前言大家好哇!现在这段时间,经过hvv一面的小伙伴也开始准备厂商的二面了,于是我"缝合"了大量有关于windows系列的本地提权面试的相关问题,并且做了一些整理分享给大家...
身份验证漏洞-基于密码的登录漏洞(高级)
在学习本章前,建议先对前序章节进行了解,传送门如下:身份验证漏洞-基于密码的登录漏洞(上)身份验证漏洞-基于密码的登录漏洞(中)身份验证漏洞-基于密码的登录漏洞(下)本章节结合靶场试验来仔细研究基于密...
谷歌 OAuth客户端库(Java版)中存在高危漏洞
上个月,谷歌解决了OAuth 客户端库(Java版)中的一个高危漏洞(CVE-2021-22573),本可导致恶意人员使用受陷令牌部署任意payload。该漏洞的CVSS评分为8.7,和因...
通过GiHub 查找 API 密钥、令牌和密码
关键词:Passwordsapi_key“api keys”authorization_bearer:oauthauthauthenticationclient_secretapi_token:“ap...
account takeover系列-由密码重置所导致的账户劫持
背景相关细节小结声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景 白帽小哥喜欢测试重置...
API NEWS | 新的API会危及安全性吗?
欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。本周,我们带来的分享如下:• 调度平台Easy!...
新的工业间谍窃取数据市场通过裂缝广告软件推广
4月19日,星期二,您好!中科汇能与您分享信息安全快讯:新的工业间谍窃取数据市场通过裂缝广告软件推广威胁行动方已经启动了一个名为Industrial Spy的新市场,该市场销售来自违规公司的被盗数据,...
如何使用Auto-Elevate实现UAC绕过和权限提升
关于Auto-Elevate Auto-Elevate是一款功能强大的Windows系统安全测试工具,该工具可以在不需要离邕任何LPE漏洞的 情况下,通过结合COM U...
gitlab漏洞系列-项目访问令牌名泄露
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景 白帽小哥joaxcar2021年发现...
gitlab漏洞系列-未经授权访问wiki
gitlab漏洞系列-未经授权访问wiki声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。...
9