赏金猎人系列-如何测试sso相关的漏洞(II)声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责...
赏金猎人系列-如何测试sso相关的漏洞
赏金猎人系列-如何测试sso相关的漏洞声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言...
五种不寻常的身份验证绕过技术
身份验证绕过漏洞是现代web应用程序中普遍存在的漏洞,也是隐藏最深很难被发现的漏洞。为此安全防护人员不断在开发新的认证方法,保障组织的网络安全。尽管单点登录(SSO)等工具通常是对旧的登录用户方式的改...
单点登录必知的两个著名协议:SAML、OAuth2
在本文中,我们将了解单点登录 (SSO) 和 SSO 广泛使用的两种协议,即 SAML 和OAuth2。这是任何程序员都需要理解的复杂领域之一。什么是单点登录?单点登录 (SSO) 是用户可以使用一组...
你所不知道的sso绕过tips
你所不知道的sso绕过sso bypass相关 通常所用的方法:1.暴力破解2.弱密码3.apis目录暴力破解暴力破解的思路 不要只寻找目录和文件,在每个有效的接口上找到可以暴力破解的参数相关工具:h...
五种不一样的身份验证绕过技术
五种不一样的身份验证绕过技术声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言 身份验证...
攻防|记一次地级市某行业专项攻防演练
文章由作者授权转载,首发于:奇安信攻防社区https://forum.butian.net/share/18542022.8.X单位突然通知参与某行业专项攻防演练,本着学习的目的参与了一波,特此记录。...
谁动了你的数据?
全文约4000字 阅读约5分钟“谁访问了你的数据?” 这看似一个简单的问题,却很难回答:首先,你以为数据库日志记录了身份,但数据库日志常常是被禁用的;然后,你以为应用程序日志记录了身份,但...
一次艰难的外网打点
依然是某省HVV中的红队经历,这次的目标是某著名饮料企业。我这次着重写外网打点的整个思路流程。这次的整个流程大概是:信息收集->SSO弱口令->源码泄露->SQL注入->密码复...
HW红队 | 一次艰难的外网打点
扫码领资料获黑客教程免费&进群随作者:u21h2 原文地址:https://xz.aliyun.com/t/11366依然是某省HVV中的红队经历,这次的目标是某著名饮料企业。我这...
一次hw中遇到的大学目标
筛选完目标,找了个大学捏 找找学妹看看目标打多了,不太想玩那些应用漏洞了,哪怕用0day突突突突进去,还会有各种复杂环境,挺恶心。也不着急,大哥们都在打目标打开大学官网,网页浏览工程师上线我在想,如果...
攻防演练 | 记一次艰难的外网打点
请点击上面 一键关注!内容来源:先知社区前言这是某省HVV中的红队经历,这次的目标是某著名饮料企业。这次的整个流程大概是:信息收集->SSO弱口令->源码泄露->SQL注入->...
6