令牌 - 第 3 | CN-SEC 中文网

安全文章

Windows Red Team权限提升技术-6

ATT& CK权限升级技术权限提升由攻击者用来获取系统或网络上更高级别权限的技术组成。攻击者通常可以使用非特权访问权限进入和探索网络，但需要更高的权限才能实现其目标。常见的方法是利用系统的弱...

04月01日14 views评论

阅读全文

安全文章

【Burp系列】超全CSRF请求伪造漏洞实验总结

现在只对常读和星标的公众号才展示大图推送，建议大家能把渗透安全团队“设为星标”，否则可能就看不到了啦！导读：面向读者：对于网络安全方面的学者。本文知识点（读者自测）：（1）构造...

03月22日100 views评论

阅读全文

CSRF防御机制反被CSRF误，csurf 开源NPM包被弃

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士英国网络安全公司 Fortbridge 的安全研究人员在应客户委托查看一份渗透测试报告时，在csurf开源软件中发现了更为严重的跨站点请求...

02月16日27 views评论

阅读全文

安全文章

浅析Windows Access Token以及利用方法

1 前置概念关于Windows Access TokenWindows Access Token(访问令牌)，它是一个描述进程或者线程安全上下文的一个对象。每个用户登录计算机都会产生一个AcessTo...

02月16日30 views评论

阅读全文

安全新闻

API身份验证失效威胁日益增长

应用程序编程接口（API）是当今互联网功能的组成部分。API实现了一个程序与另一个外部、或内部程序之间的通信，使内部业务操作、用户登录帐户或在线提交付款等许多流程更加高效和方便。API是简化信息交换的...

02月07日82 views评论

阅读全文

安全漏洞

CVE-2023-22482/22736：Argo CD 身份验证绕过漏洞通告

赶紧点击上方话题进行订阅吧！报告编号：B6-2023-020101报告来源：360CERT报告作者：360CERT更新日期：2023-02-011 漏洞简述2023年02月01日，360CE...

02月02日152 views评论

阅读全文

安全文章

【网安干货】内网渗透从零到一之令牌窃取

网安教育培养网络安全人才技术交流、学习咨询0x00在内网渗透中令牌窃取通常用于从Administrator权限提升到System权限或者用于获取trustedinstaller等权限，令牌窃取通过Me...

01月09日18 views评论

阅读全文

赏金猎人系列-如何测试sso相关的漏洞(II)

赏金猎人系列-如何测试sso相关的漏洞(II)声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责...

10月26日安全文章62 views评论

阅读全文

安全文章

五种不寻常的身份验证绕过技术

身份验证绕过漏洞是现代web应用程序中普遍存在的漏洞，也是隐藏最深很难被发现的漏洞。为此安全防护人员不断在开发新的认证方法，保障组织的网络安全。尽管单点登录(SSO)等工具通常是对旧的登录用户方式的改...

10月13日143 views评论

阅读全文

安全文章

Web安全 | 本地提权初探

点击上方“蓝字”，关注更多精彩前言大家好哇！现在这段时间，经过hvv一面的小伙伴也开始准备厂商的二面了，于是我"缝合"了大量有关于windows系列的本地提权面试的相关问题，并且做了一些整理分享给大家...

06月10日286 views评论

阅读全文

安全文章

身份验证漏洞-基于密码的登录漏洞（高级）

在学习本章前，建议先对前序章节进行了解，传送门如下：身份验证漏洞-基于密码的登录漏洞（上）身份验证漏洞-基于密码的登录漏洞（中）身份验证漏洞-基于密码的登录漏洞（下）本章节结合靶场试验来仔细研究基于密...

06月09日133 views评论

阅读全文

安全漏洞

谷歌 OAuth客户端库（Java版）中存在高危漏洞

上个月，谷歌解决了OAuth 客户端库（Java版）中的一个高危漏洞（CVE-2021-22573），本可导致恶意人员使用受陷令牌部署任意payload。该漏洞的CVSS评分为8.7，和因...

05月23日28 views评论

阅读全文

Windows Red Team权限提升技术-6

【Burp系列】超全CSRF请求伪造漏洞实验总结

浅析Windows Access Token以及利用方法

API身份验证失效威胁日益增长

CVE-2023-22482/22736：Argo CD 身份验证绕过漏洞通告

【网安干货】内网渗透从零到一之令牌窃取

赏金猎人系列-如何测试sso相关的漏洞(II)

五种不寻常的身份验证绕过技术

Web安全 | 本地提权初探

身份验证漏洞-基于密码的登录漏洞（高级）

谷歌 OAuth客户端库（Java版）中存在高危漏洞

在线咨询

微信