访问令牌 | CN-SEC 中文网

安全新闻

Windows访问控制的攻防博弈：当门禁卡与万能钥匙相遇

大家好，我是你们的技术探险家！在上一篇关于文件系统安全的文章中，我们了解了 Windows 如何像一座精密设计的城堡，通过 NTFS 权限为每个房间设置门锁。但任何坚固的堡垒，都会面临间谍、内鬼和攻城...

06月26日19 views评论

阅读全文

安全文章

Windows安全的心脏：揭秘访问控制模型如何决定谁能动我的奶酪

大家好，我是你们的技术探险家！上上篇文章中有小伙伴反映对windows访问控制模型不太了解，那么今天我们一起来学习一下这块儿基础内容。你是否曾双击一个文件，却被一个无情的“拒绝访问”弹窗挡在门外？或者...

06月24日21 views评论

阅读全文

安全文章

Windows安全的心脏：揭秘访问控制模型如何决定谁能动我的奶酪

06月18日12 views评论

阅读全文

安全百科

OAuth2.0原理及常见漏洞

前言目前，很多的系统在登录的时候都支持通过第三方账号登录，如通过微信，qq，微博扫描登录。这种一般都是通过OAuth2.0搭建完成的。有一个问题需要思考：通过第三方应用登录的过程是否存在一些安全问题？...

06月07日25 views评论

阅读全文

安全百科

OAuth2.0漏洞：当授权变成攻击

01定义OAuth2.0是一种开放标准，用于授权第三方应用访问用户资源，而无需共享用户凭证，它广泛应用于社交登录、API授权等场景。工作原理：定义三个不同方（即客户端应用程序、资源所有者和 OAuth...

02月18日95 views评论

阅读全文

安全文章

分享OAuth2.0原理及漏洞挖掘技巧案例分析

扫码加圈子获内部资料网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。0x1 前言一、浅谈不知道师傅们平常有没有碰到就是在...

12月20日20 views评论

阅读全文

安全工具

GraphRunner：能够与Microsoft Graph API 交互的安全渗透工具

关于GraphRunner GraphRunner 是一款用于与 Microsoft Graph API 交互的安全测试工具，该工具专为红队和蓝队研究人员设计，可以帮助针对Microsoft Entr...

12月16日19 views评论

阅读全文

安全文章

Windows权限控制相关的防御与攻击技术

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把SecretTeam安全团队“设为星标”，否则可能就看不到了啦！免责声明"本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的...

12月02日31 views评论

阅读全文

安全文章

进程注入：利用 Shellcode 的强大功能

进程注入进程注入是一种先进的渗透测试技术，由经验丰富的渗透测试人员使用，将恶意代码引入非恶意进程，在没有检测和响应解决方案的情况下秘密渗透。进程注入也称为 shellcode 注入，它采用各种机制和方...

11月24日112 views评论

阅读全文

安全文章

通过 Google OAuth 配置错误实现账号接管

在本文，我们将探讨一种由于 OAuth 配置错误而导致的账号接管漏洞。我在一家云计算公司的域名网站以及一个知名电商网站上发现了此类漏洞。那么，话不多说，让我们开始吧！ img 首先，让...

11月18日37 views评论

阅读全文

安全文章

挖掘web程序中的OAuth漏洞：利用redirect_uri和state参数接管账户

本文探讨了攻击者如何利用OAuth漏洞，重点是滥用redirect_uri和state参数以接管用户账户。如果redirect_uri参数验证不严，可能会导致未经授权的重定向到恶意服务器...

11月11日142 views评论

阅读全文

安全文章

土豆提权系列的学习理解

对于每一个知识点，我都是本着 what、why、how 的原则进行学习、理解的。之所以写下此文，源于一个面试问题 “为什么即使打了补丁，土豆提权依旧好用？”这个问题我回答不上来，于是动了心思，决定深入...

10月13日81 views评论

阅读全文

在线咨询

微信