信息技术飞速发展,在不断改变人们生产生活方式的同时,也带来了日益严峻的网络安全问题。如何在网络实体间建立信任关系,是信息安全领域需要解决的重点问题。作为网络安全的基石,网络信任体系衍生出公钥基础设施、...
【漏洞报送】Apache Shiro存在身份认证缺陷漏洞(CVE-2022-32532)
0x01 Apache ShiroApache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。0x02 漏洞概述近日...
深入考察JWT攻击
在本文中,我们将探讨JSON网络令牌(JWT)的设计问题以及不当的处理方式是如何让网站面临各种高危攻击的威胁的。由于JWT最常用于身份认证、会话管理和访问控制机制,因此,这些漏洞有可能危及整个网站及其...
身份图谱:弥补静态身份认证与动态网络攻击之间的缺失
威瑞森前不久发布的“2022数据泄露调查报告”显示,61%的数据泄露可追溯到身份凭证的泄露。其中一个很大的原因是黑色产业链的成熟。一种称之为“入口访问经纪人”(IAB)的角色,专门从事身份账号的交易,...
apisix安全评估
背景有大佬已经对 apisix攻击面[1] 做过总结。本文记录一下自己之前的评估过程。分析过程评估哪些模块?首先我需要知道要评估啥,就像搞渗透时,我得先知道攻击面在哪里。根据文档,可以知道apisix...
《数据安全架构设计与实战》读书笔记
点击蓝色 关注我们 随着近年来数字化的发展,数据安全风险和隐私安全越来越成为国家,各企业需要面对的重要问题。国家也相继发布了多个安全法律,如:《网络安全法》《数据安全法》等等。正...
实战破解EDU统一身份认证前端加密
0x00书接上回,咱就是说啊!这src还真的细细的分,这回咱们看前端加密。登录框的测试,很多情况下,我们是需要暴力破解账号密码的。但有些网站对请求参数前端进行了加密,让我们无法轻易的去爆破...
增强中小企业安全能力的16条建议
点击↑蓝字关注墨云安全随着企业数字化转型的深入推进,网络安全建设已经受到越来越多的关注和重视,然而,调查数据显示,有很多中小型企业组织存在一种虚假的安全感——“我们还太小,不值得被攻击”。但事实上,网...
网络可信身份认证
摘 要身份认证技术是依靠软件进行身份认证,具有无法抵御旁路攻击、容易被木马/病毒攻击、无权限的客户端非法接入的问题。可综合利用UEFI技术和可信计算技术,在用户客户端进入操作系统前,实现用户客户端可信...
35类主流商用密码产品
2020年1月1日,《中华人民共和国密码法》正式颁布施行,这是我国密码发展史上具有里程碑意义的大事。在密码法中,对于商用密码是这样定义的:“商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可...
九州云腾尚红林:云时代,身份管理面临的挑战及发展趋势
点击蓝字·关注我们AQNIU访谈嘉宾:尚红林记 者:张安媛分析师:沈 飙身份认证和权限管理是实现企业内部网络安全防护的基础,企业规模越大,其对内部资产和关键数据的查阅、修改、获...
实战CVE-2022-23131漏洞 | 身份认证绕过
前言:Zabbix 是一个非常流行的开源监控平台,用于收集、集中和跟踪整个基础设施中的 CPU 负载和网络流量等指标。它与 Pandora FMS 和 Nagios 等解决方案非常相似。由于其受欢迎程...
10