点击上方蓝字“Ots安全”一起玩耍×01 漏洞描述Auth0 是一个身份验证代理,支持社交和企业身份提供商,包括 Active Directory、LDAP、Google Apps 和 Sa...
F5 BIG-IP 未授权 RCE(CVE-2022-1388)分析
作者:知道创宇404实验室 kuipla、Billion时间:2022年05月10日2022/5/4日F5官方发布一个关于BIG-IP的未授权RCE(CVE-2022-1388)安全公告,官方对该漏洞...
Android应用实现Https双向认证
为什么需要双向认证Https保证的是信道的安全,即客户端和服务端通信报文的安全。但是无法保证中间人攻击,所以双向认证解决的问题就是防止中间人攻击。中间人攻击(Man-in-the-MiddleAtta...
CVE-2022-29266 Apache Apisix jwt插件 密钥泄漏
0x01 漏洞描述在2.13.1版本之前的APache APISIX中,攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web 令牌来通过错误消息响应获取插件配置...
OAuth 2.0 攻击面与案例
如文中链接无法打开或出现排版错误,请点击查看原文OAuth流程本文以两种广泛使用的方案为标准展开.如对流程不了解,请先移步学习: 理解OAuth 2.0Authorization Coderespon...
【漏洞通告】Apache APISIX JWT-Auth Plugin 密钥泄露漏洞 CVE-2022-29266
漏洞名称:Apache APISIX JWT-Auth Plugin密钥泄露漏洞组件名称:Apache APISIX影响范围:Apache APISIX < 2.13.1漏洞类型:信息...
Linux内核最新高危漏洞Dirty Pipe(脏管道)检测指南
本文由小茆同学编译,陈裕铭、Roe校对,转载请注明。Dirty Pipe是一个本地权限提升漏洞,标记为CVE-2022-0847,是由IONOS的软件工程师Max Kellermann发现的。该漏洞允...
CVE-2018-10933漏洞分析与复现
预备知识 SSH认证流程 SSH的登录过程: *版本号协商阶段:服务器端监听22端口,客户端与服务端建立TCP连接,并且进行SSH版本协商,如果协商成功就进入密钥和算法协商阶段,否则就断开TCP连接;...
注意 | NGINX LDAP参考实现中存在代码执行漏洞
点击上方 订阅话题 第一时间了...
gitlab漏洞系列-Gitlab Pages Auth Bypass
gitlab漏洞系列-Gitlab Pages Auth Bypass声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作...
常见认证机制及JWT介绍
常见认证机制及JWT介绍HTTP Basic Auth HTTP Basic Auth就是每次请求都会提供用户的用户名和密码 , 也就是说它是使用最简单的认证方式,只需要提供密码即可。 由于它每次都需...
【最新漏洞预警】CVE-2021-35232 Solarwinds Web Help Desk一个鸡肋的HQL注入漏洞
关注公众号回复“漏洞”获取研究环境或工具漏洞信息Solarwinds Web Help Desk 12.7.7 Hotfix 1以前版本存在一个硬编码用户凭证,导致能够本地执行任意 Hibernate...
5