密码 - 第 7 | CN-SEC 中文网

安全文章

通过重置密码token泄露收获€2500赏金

什么是ATO？ ATO全称Account TakeOver，中文一般翻译为“帐户劫持或帐户接管”，ATO一般有多种方式可以实现，比如：当攻击者使用以往数据泄露中获取到的用户名、密码尝试未经授权访问其...

04月03日14 views评论

阅读全文

安全新闻

util-linux中11年的安全漏洞（在Ubuntu上泄露用户密码）

概括util-linux wall 命令不会过滤转义序列命令行参数。漏洞代码是在commit中引入的CDD3CC7FA4（2013）。此后的每个版本都容易受到攻击。这允许非特权用户向其他用户添加任意文...

03月30日15 views评论

阅读全文

移动安全

找回机制-修改返回状态值+找回密码重定向

案例：某app---找回密码修改返回状态值判定验证通过进入福利期货注册一个账号，点击忘记密码，输入正确验证码，抓取忘记密码的数据包，右键选择Do intercept----response to t...

03月28日28 views评论

阅读全文

安全博客

CNVD-2021-51924 大华DSS平台逻辑漏洞

浙江大华技术股份有限公司是领先的监控产品供应商和解决方案服务商。浙江大华技术股份有限公司DSS存在逻辑缺陷漏洞，攻击者可利用该漏洞重置系统密码，获取敏感信息。大华DSS系统存在逻辑缺陷，在DSS登...

03月27日142 views评论

阅读全文

安全文章

一次配合任意密码重置逻辑+越权的组合拳打法

北京大学某站存在修改任意用户密码访问漏洞URL为: https://****.***.edu.cn/Html/Index.html 选择用户登录页面的忘记密码测试账号：Myan 测试密码：****...

03月12日27 views评论

阅读全文

安全闲碎

首席信息官的风险计算：偏执和警惕之间的界限

本文1993字阅读约需 5分钟我在以色列出生和长大，记得第一次“冒险”去美国购物中心的情景。停车场停满了车，人们在转来转去，但我却找不到入口在哪里。我过了几分钟才意识到，美国的购物中心与以色列不同...

03月08日30 views评论

阅读全文

安全百科

盗取域账号密码无需MD5解密也可直接登录

#############################免责声明：本文仅作收藏学习之用，亦希望大家以遵守《网络安全法》相关法律为前提学习，切勿用于非法犯罪活动，对于恶意使用造成的损失，和本人及作者无...

03月07日21 views评论

阅读全文

安全工具

社工库密码生成器

——鼹鼠软件更新提醒想必每一个网络安全攻城狮都有自己的“Social Engineering Database”近期，对于Social Engineering Database更新：更新12.5亿信...

03月07日392 views评论

阅读全文

安全文章

Tomcat安全系列之二：Tomcat密码暴力破解

在 Tomcat 中，用于配置后台管理界面（如 Manager 或 Host Manager）访问密码的文件是 tomcat-users.xml。这个文件通常位于 Tomcat 的 conf 目录下。...

03月05日68 views评论

阅读全文

安全百科

某高校奇葩任意密码重置

前言太久没挖Edu了一直没啥素材，呜呜呜，刚好今天有时间就来水一水文章资产收集还是老样子，hunter语法(web.body="登录"||web.body="注册")&&doma...

03月04日27 views评论

阅读全文

应急响应

应急响应靶机训练-Web1

免责声明本文仅用于技术讨论与学习，利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任!前言：最近开始在招hvv了，也在偶然间知攻善防实验室发...

03月03日65 views评论

阅读全文

安全新闻

如何在“两会”时期保护好你的账户密码？

密码有时我们也称之为“口令”，是我们在网络环境中登录各类系统和服务时证明身份的最常用方法。因此，使用强密码对于保护组织和个人的安全和身份至关重要。如果恶意或未经授权的人拥有合法的用户名和密码，世界上再...

03月01日18 views评论

阅读全文

通过重置密码token泄露收获€2500赏金

util-linux中11年的安全漏洞（在Ubuntu上泄露用户密码）

找回机制-修改返回状态值+找回密码重定向

CNVD-2021-51924 大华DSS平台逻辑漏洞

一次配合任意密码重置逻辑+越权的组合拳打法

首席信息官的风险计算：偏执和警惕之间的界限

盗取域账号密码无需MD5解密也可直接登录

Tomcat安全系列之二：Tomcat密码暴力破解

某高校奇葩任意密码重置

应急响应靶机训练-Web1

如何在“两会”时期保护好你的账户密码？

在线咨询

微信