“零”信任就是“无”信任,作为代表着“缺乏”的概念,零信任可谓是无处不在了。试水零信任项目的公司遭遇了各种挑战,却忽视了零信任方法原本的目标。零信任方法旨在以持续自适应的显式信任替换掉广...
10月19日118 views评论用户
身份验证
实现靠谱零信任的五个阶段
10月19日118 views评论用户
身份验证
10月19日118 views评论用户
身份验证
美国学者通过新框架对战时进攻性网络行动进行三纬解析
编者按 美国哥伦比亚大学国际与公共事务学院高级研究学者杰森·希利近日撰文《战争中的网络效应:分类“地点”“内容”“原因”》,提出新的“战时进攻性网络行动框架”并辅以历史案例,旨在帮助更好地评估战时进攻...
08月05日38 views评论俄罗斯
信息
跨森林之Extra SID攻击
由于微软将森林信任设计为安全边界,在默认情况下,即使我们完全控制了当前森林,也可能无法入侵其他受信任的森林(trusted forest)。 下面介绍在非默认条件下(但也比较常见),如何入侵一个受信任...
08月02日18 views评论cn
ms
关于“零信任”的一些学习和思考
一、什么是好的安全体系一个好的安全体系的前提是为合法主体建立信任关系,通过信任在保证业务的前提下降低安全成本,在运行时及时检测并消除非法主体的恶意行为,所以信任是网络安全的前提要求。二、什么是信任维基...
07月14日42 views评论action
ment
为什么自签名证书不可信
SSL 证书验证过程服务器在本地生成私钥和公钥对,并创建CSR(证书签名请求)。CA 收到 CSR 后进行验证,然后颁发证书。此证书包含服务器的公钥、颁发者信息、公司信息、到期日期和数字签名(即 CA...
07月14日16 views评论数字签名
证书
攻击 Android Binder:CVE-2023-20938 的分析与利用
在 OffensiveCon 2024 上,Android Red Team 做了一个演示(幻灯片),介绍了如何查找和利用 CVE-2023-20938,这是 Android Binde...
06月07日183 views评论ipc
信任
私设DHCP服务器如何防范?DHCPsnooping、trusted信任接口
点击上方蓝字,关注我们DHCPsnooping私设DHCP的危害: 在 DHCP 工作过程中,通常服务器和客户端没有认证机制,如果网络上存在多台 DHCP...
06月27日43 views评论ip
网络
语义Web信任综述
操作系统/虚拟化安全知识域:系统强化之代码和数据完整性检查以及异常检测
代码和数据完整性检查减少操作系统中代码可利用性的一种方法是确保代码和/或数据未经修改并由受信任的供应商提供。例如,多年来,Windows一直采用驱动程序签名。一些较新的版本更进一步,使用 ...
02月06日安全百科49 views评论代码
操作系统
利用模拟器抓取微信小程序及APP包
本文仅用于记录自身学习过程。条件:抓取微信小程序数据包的关键点,就是SSL证书绑定的问题。在安卓系统7.0以下的版本,不管微信是什么版本,都会信任系统提供的证书,而现在微信版本已经到了8.0.16 且...
01月24日243 views评论burpsuite
版本
影子凭证 滥用密钥信任帐户映射进行帐户接管
什么是 PKINIT?在 Kerberos 身份验证中,客户端必须在 KDC为其提供票证授予票证 (TGT) 之前执行“预验证”,该票证随后可用于获取服务票证。预认证的原因是,没有它,任何人都可以获得...
01月13日86 views评论加密
身份验证
标准 | SAE J3101车辆的硬件保护安全(2)
SAE-2020-J3101 “ Hardware Protected Security for Ground Vehicle”,是美国汽车协会2016年发布的关于车辆硬件安全方面的标准,规...
12月31日102 views评论安全
应用程序