证书 - 第 10 | CN-SEC 中文网

安全文章

实战 | 挖掘CNVD通用漏洞，轻松拿证书心得

前言在各大公众号、论坛有大量文章是从某次渗透测试项目中发现了某个漏洞点，然后再从网络搜索引擎中去找类似漏洞，从而获取CNVD通用漏洞，得到证书的。此类是从渗透测试转到了漏洞挖掘，不是每个人都有那么幸运...

02月15日121 views评论

阅读全文

安全文章

CVE-2022–26923域内提权漏洞利用

写在前面本次漏洞利用简单，流量特征不明显难以检测，同时获取的AD域证书有效时间长，因此对于AD域的提权和权限维持都有很高的利用价值。这里简单记录域内普通...

02月14日131 views评论

阅读全文

安全工具

一款API水平越权漏洞检测工具

概述通过替换认证信息后重放请求，并对比数据包结果，判断接口是否存在越权漏洞详细介绍：水平越权挖掘技巧与自动化越权漏洞检测特点支持HTTPS自动过滤图片/js/css/html页面等静态内容多线程检测，...

02月09日149 views评论

阅读全文

安全漏洞

CVE-2022-34689：Windows CryptoAPI漏洞PoC公布

漏洞概述CryptoAPI是Windows系统处理与加密相关事务的API。在证书处理方面，负责读取和分析证书来验证是否经过验证的CA。浏览器也会使用CryptoAPI用于TLS证书验证。2022年，美...

02月09日76 views评论

阅读全文

安全文章

EduSrc两个证书站挖掘小结

年终于快要过完了，这段时间忙着过年，也没有学习一些新技术，但是有个好处就是有空闲时间来干自己想干的的事情。于是乎准备挖挖edusrc。上次在edusrc交洞还是几个月前的事情了，这次回来发现礼品中心上...

02月07日775 views评论

阅读全文

安全新闻

本为出差员工搭建的VPN通道，却为境外入侵打开方便之门

2月1日，星期三，您好！中科汇能与您分享信息安全快讯： 01 Zacks Investment Research确认数据泄露影响82万+客户 Zacks 投资研究公司证实，黑客攻击导致属于 820，0...

02月01日48 views评论

阅读全文

移动安全

App抓不到包？试试这个方法！

点击关注公众号，知识干货及时送达👇01前言在对app进行https抓包的过程中，总会遇到无法抓取有效数据包的情况，本篇文章就这个问题，收集并总结了一个解决方案，在这套环境配置完成之后可以为你后面的ap...

02月01日435 views评论

阅读全文

移动安全

利用模拟器抓取微信小程序及APP包

本文仅用于记录自身学习过程。条件：抓取微信小程序数据包的关键点，就是SSL证书绑定的问题。在安卓系统7.0以下的版本，不管微信是什么版本，都会信任系统提供的证书，而现在微信版本已经到了8.0.16 且...

01月24日244 views评论

阅读全文

安全文章

影子凭证滥用密钥信任帐户映射进行帐户接管

什么是 PKINIT？在 Kerberos 身份验证中，客户端必须在 KDC为其提供票证授予票证 (TGT) 之前执行“预验证”，该票证随后可用于获取服务票证。预认证的原因是，没有它，任何人都可以获得...

01月13日86 views评论

阅读全文

安全文章

对酒店房间自助售货机的支付漏洞挖掘

前言住某酒店，一看就是个“正规”酒店。刚刷卡进门，就看到门缝里的小卡片了，床头上还贴这一个，个人微信的一个二维码美其名曰SPA。还贴心的提供了自助售货机购买TT。好奇扫码看了下。是个微信小程序，看界面...

12月15日55 views评论

阅读全文

安全漏洞

谷歌公布安卓系统存在高危漏洞，恐数百万安卓设备受威胁

资讯谷歌公布安卓系统存在高危漏洞，恐数百万安卓设备受威胁Google Android 合作伙伴漏洞计划（APVI）网站上有一个关于影响数百万 Android 设备安全漏洞的新帖子。黑客能够通过该漏洞在...

12月08日39 views评论

阅读全文

安全新闻

谷歌披露安卓严重安全问题，恶意软件能够获取系统级权限

上星期，谷歌在Android合作伙伴漏洞倡议（APVI，Android Partner Vulnerability Initiative）上披露了一类需要特别注意的安全事件：部分Android原始设备...

12月05日46 views评论

阅读全文

在线咨询

微信