1.弱口令漏洞漏洞名称弱口令漏洞漏洞地址略漏洞等级高危漏洞描述应用系统未针对用户口令进行口令复杂度要求检测,导致应用系统中存在弱口令,恶意攻击者可以通过猜解弱口令成功登录应用系统后台。漏洞成因应用系统...
漏洞报告模版 - CSRF跨站请求伪造漏洞
2.CSRF跨站请求伪造漏洞漏洞名称CSRF跨站请求伪造漏洞漏洞地址https://portswigger.net/web-security/csrf漏洞等级中危漏洞描述跨站请求伪造(也称为CSRF)...
记一次项目测试挖掘思路
文章来源:先知社区(慧启)原文地址:https://blog.csdn.net/qq_46187752/article/details/1228797520x01 突破条件竞争在项目过程中,客户需要测...
gitlab漏洞系列-项目访问令牌名泄露
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景 白帽小哥joaxcar2021年发现...
CVE-2021-4034 Linux Polkit权限提升漏洞复现
文章首发于:火线Zone社区(https://zone.huoxian.cn/)前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。...
将特权访问和数据安全分析结合在一起
谁拥有组织中的数据?也许法律拥有治理,而安全拥有数据安全。IT、法律、安全和业务线所有者可能会分担任务。也许根本没有真正的数据治理或监督。然而,从各行各业的人们那里听到的是,无论拥有成熟的治理和数据安...
著名的黑客论坛RaidForums被一锅端
1PART安全资讯PART1奢侈时尚品牌 Zegna 确认 8 月勒索软件攻击意大利豪华时装屋Ermenegildo Zegna证实了2021年8月的勒索软件攻击,导致广泛的IT系统中断。这一信息是在...
“123456”和“password”仍是世界上最流行的口令之一
在等级保护基本要求中,对口令这块有对应条款要求,以《信息安全技术 网络安全等级保护基本要求》安全计算环境身份鉴别第三级要求为例:安全计算环境身份鉴别a)应对登录的用户进行身份标识和鉴别,身份标识具有唯...
域控强密码策略插件(附下载地址)
域控默认的密码策略,无法对域用户密码的设置进行很好的限制,这样的密码复杂性规则,依然存在大量的弱口令,比如Passw0rd、P@ssword等。基于微软标准的Password Filters功能,提供...
两年来首次发现Java 0day漏洞
最近Oracle公司宣布了一个近两年以来 首个Java 0day漏洞 ,它影响着Java Web Start的应用程序沙箱和Java applets的沙箱。考虑到此漏洞正在被利用,加上它便于开发,根据...
实战|记一次相当曲折的渗透
作者:羊羊,转载于先知社区。记一次曲折的渗透一.前言这是一次非常曲折的渗透测试,也让我学到了很多。二.逻辑漏洞收集子域名,看到一个项目管理的网站先随机测试了几个弱口令,没有验证码,也没有失败次数限制,...
记一次服务器被种挖矿溯源
事情的起因是这样的,之前在做对安全狗测试的过程后,忘记将3306端口关闭,而且当时用的数据库密码是root/root,为了测试方便。没想到忘记关闭了,现在还是能够连接到。今天在做一个go的项目时用到服...
103