点击上方蓝字“Ots安全”一起玩耍Vedere Labs 安全研究主管Daniel dos SantosAccess:7 首席研究员Elad Luz Forescout 的Vede...
03月11日297 views评论cve
身份验证
新的供应链漏洞影响医疗和物联网设备
03月11日297 views评论cve
身份验证
03月11日297 views评论cve
身份验证
Trend Micro ServerProtect 中的多个漏洞
点击上方蓝字“Ots安全”一起玩耍概要在研究 CVE-2021-36745 的 Nessus 插件覆盖率时,Tenable 在 Microsoft Windows/Novell NetWare 5.8...
03月09日86 views评论trend
身份验证
浅谈JSON劫持
什么是JSON劫持?单从字面上就可以理解的出来,JSON是一种轻量级的数据交换格式,而劫持就是对数据进行窃取(或者应该称为打劫、拦截比较合适。恶意攻击者通过某些特定的手段,将本应该返回给用户的JSON...
03月08日365 views评论get
身份验证
如何构建和设计以确保 API 的安全性
没有得到恰当保护的API会让整个企业面临各种风险与威胁。本文向您介绍四种类型的API安全保护方式。面对常见的OWASP十大威胁、未经授权的访问、拒绝服务攻击、以及窃取机密数据等类型的攻击,企业需要使用...
03月07日52 views评论api
身份验证
VoIPmonitor监控软件中发现多个关键安全漏洞
0x00 VoIPmonitor爆重要安全漏洞VoIPmonitor 软件中发现了严重的安全漏洞,如果成功利用这些漏洞,未经身份验证的攻击者可能会将权限升级到管理员级别并执行任意命令。研究人员于 20...
03月04日247 views评论cve
攻击者
API 的5 大身份验证安全隐患
最近一连串的 API 安全事件(Peloton、Experian、Clubhouse 等)无疑迫使许多安全和开发团队仔细检查他们的 API 安全状况,以确保它们不会成为下一个被攻击对象。创建面向外部受...
03月01日95 views评论攻击者
身份验证
TP-Link路由器漏洞可让攻击者无密码登录(下)
近期:TP-Link修补了一个影响旗下部分Archer路由器的高危漏洞,它可让攻击者注销设备管理密码,并通过Telnet远程控制同一局域网内(家庭或学校)的设备。这个漏洞是被IBM X-Force R...
02月28日401 views评论攻击者
身份验证
零信任应该遵循模型而不是工具
零信任模型正在成为主流的理由是充分的。高级攻击的增加,以及包括迁移到混合云和远程工作在内的 IT 趋势,需要更严格和更精细的防御。零信任可确保对每个设备、每个应用程序和每个获得每个资源访问权限的用户进...
02月25日75 views评论工具
身份验证
“无密码登录”需要走出死胡同
为了保护应用和数据的安全,我们每个人都在使用十多个甚至近百个密码。如果用户需要记住数百个用户名和密码组合,还要定期更改,他们往往会重复使用相同的组合。这使得网络犯罪分子更容易得逞,Verizon最近的...
02月24日59 views评论密码
身份验证
CVE-2022-23131——ZABBIX绕过 SAML SSO 身份验证
本文参考且听安全李白你好http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202201-10300x01 漏洞描述Zabbix Sia ...
02月24日144 views评论cve
身份验证
CVE-2022-23131——绕过 SAML SSO 身份验证
0x01 漏洞描述安全断言标记语言 (SAML) 是最常见的单点登录 (SSO) 标准之一。围绕 XML 实现,它允许身份提供者(IdP,一个能够对用户进行身份验证的实体)告诉服务提供者(SP,这里是...
02月24日194 views评论web
身份验证
内网渗透(五) | AS-REP Roasting攻击
作者:谢公子作者:谢公子CSDN安全博客专家,擅长渗透测试、Web安全攻防、红蓝对抗。其自有公众号:谢公子学安全AS-REP Roasting攻击AS-REP Roasting是一种对用户账号进行离线...
02月23日193 views评论内网渗透
身份验证
171