前言让我们开始了解我是如何发现导致敏感信息泄露的 API 配置错误的。设想这个问题还没有解决,所以我不能透露那个程序的名字。假设该程序为 https://redacted.com。Web 应用程序是关...
域渗透-SPN【转发文章——文末抽奖】
SPN 简介服务主体名称(SPN:ServicePrincipal Names)是服务实例(可以理解为一个服务,比如 HTTP、MSSQL)的唯一标识符。Kerberos 身份验证使用 SPN 将服务...
安全牛课堂 | 企业如何应对电子邮件入侵攻击
企业电子邮件入侵攻击(BEC)是一种常见的网络攻击形式,依靠社会工程等取得受害者信任从而进行的网络攻击。犯罪分子使用具有欺骗性或已经遭到入侵的帐户冒充受信任的来源,向员工、业务合作伙伴或客户发送有针对...
云横向移动:突破易受攻击的容器
本文为译文,原文地址:https://sysdig.com/blog/lateral-movement-cloud-containers/ 横向移动是云安...
突发!疑似用友等管理软件厂商正遭受勒索病毒集中攻击,损失不可预估
8月30日,星期二,您好!中科汇能与您分享信息安全快讯:突发!疑似用友等管理软件厂商正遭受勒索病毒集中攻击,损失不可预估据国内某知名技术社区最新消息,国内多个安全技术社群传出今天针对以疑似用友为代表的...
一文了解“账号预劫持”(account pre-hijacking)
帐户劫持(Account hijacking)是控制他人账户的行为,目的通常是窃取个人信息、冒充或勒索受害者。账户劫持作为一种常见的攻击类型,执行起来却并不容易,为了成功实施攻击,攻击者必须提前弄清楚...
实战 | 如何在挖洞中快速寻找XSS漏洞
如何在挖洞中快速寻找XSS漏洞一分钟内找到XSS注入的不寻常方法许多开发人员都听说过您不能信任任何用户输入,而且确实如此。但是,也有一些地方经常被忽视,从而导致漏洞。其中一个地方是……。注册功能点。在...
api漏洞系列-通过access_token绕过权限
前言 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。主要业务逻辑 Zopim仪表板帐户的...
Four Short Links(4): 云上应用设计模式/ATT&CK/XSS/BugBountyTips
设计模式:在云中构建可靠、可扩展、安全的应用程序https://docs.microsoft.com/en-us/azure/architecture/patterns/上云之后对于开发应用程序最大...
研究人员破解MEGA的“设计隐私”存储、加密。
MEGA声称其存储服务在设计上是私有的,但据研究人员称,该技术受到“严重”安全问题的困扰。MEGA 总部位于新西兰,是一个云存储服务和消息传递平台,为超过2.5 亿用户提供端到端加密。MEGA还允许用...
认证账户被黑,威胁行为者借名人推特发送钓鱼信息
近期,威胁行为者正入侵Twitter认证帐户,他们通过发送精心编造的虚假钓鱼消息来试图窃取其他经过认证的用户凭据。大家应该了解认证账户的特殊性,尤其是账户标注为某名人、政治家、记者、活动家、政府或私人...
实战 | 记一次使用密码重置功能接管所有用户帐户
如何使用密码重置功能接管所有用户帐户我在一个外部的bugbounty程序中发现了这个bug并获得了500美金,你可以用谷歌黑客语法 inurl:/responsible-disclosure...
15