点击上方蓝字,关注我们DHCPsnooping私设DHCP的危害: 在 DHCP 工作过程中,通常服务器和客户端没有认证机制,如果网络上存在多台 DHCP...
语义Web信任综述
摘 要 信任管理在语义Web中起着重要的作用,它可以整合权威信息,满足服务需求,提高数据的安全性和用户的隐私性。它帮助人们克服不信任和对...
操作系统/虚拟化安全知识域:系统强化之代码和数据完整性检查以及异常检测
代码和数据完整性检查减少操作系统中代码可利用性的一种方法是确保代码和/或数据未经修改并由受信任的供应商提供。例如,多年来,Windows一直采用驱动程序签名。一些较新的版本更进一步,使用 ...
利用模拟器抓取微信小程序及APP包
本文仅用于记录自身学习过程。条件:抓取微信小程序数据包的关键点,就是SSL证书绑定的问题。在安卓系统7.0以下的版本,不管微信是什么版本,都会信任系统提供的证书,而现在微信版本已经到了8.0.16 且...
影子凭证 滥用密钥信任帐户映射进行帐户接管
什么是 PKINIT?在 Kerberos 身份验证中,客户端必须在 KDC为其提供票证授予票证 (TGT) 之前执行“预验证”,该票证随后可用于获取服务票证。预认证的原因是,没有它,任何人都可以获得...
标准 | SAE J3101车辆的硬件保护安全(2)
SAE-2020-J3101 “ Hardware Protected Security for Ground Vehicle”,是美国汽车协会2016年发布的关于车辆硬件安全方面的标准,规...
Microsoft 12 月 CVE 漏洞预警
点击上方蓝字关注我们,获取最新消息1基本情况12月份,微软发布了54个漏洞的补丁,解决了 Microsoft Windows 和 Windows 组件、Azure 、Office 和 Office 组...
论文分享 | 过期域名剩余信任引发的潜在安全风险分析
“域名体系安全”作为行业热点安全问题备受关注,本次DataCon2022大数据安全分析竞赛也将其作为重点考察内容。赛前,为帮助大家了解最新研究成果,我们将定期分享相关优秀论文,助力各位参赛选手取得更好...
安全牛课堂 | 企业如何应对电子邮件入侵攻击
企业电子邮件入侵攻击(BEC)是一种常见的网络攻击形式,依靠社会工程等取得受害者信任从而进行的网络攻击。犯罪分子使用具有欺骗性或已经遭到入侵的帐户冒充受信任的来源,向员工、业务合作伙伴或客户发送有针对...
【论文分享】过期域名剩余信任引发的潜在安全风险分析
互联网域名的注册是带有期限的,每天都有大量域名的使用权因过期而发生变更。然而,由于此类“易主”现象对于域名的访问者来说难以预知,域名在其使用权变更后,仍然能收到部分“老访客”的访问流量(即residu...
原创 | 一文帮你解决APP抓包难题
点击蓝字关注我们前言在日常渗透过程中我们经常会遇到瓶颈无处下手,这个时候如果攻击者从公众号或者APP进行突破,往往会有很多惊喜。但是目前市场上的APP都会为防止别人恶意盗取和恶意篡改进行一些保护措施,...
高版本安卓下的证书信任
前言Android7以后,系统不再信任用户级的证书,只信任系统级的证书,所以要抓包就需要把我们的代理程序证书安装至Android的系统目录中。安卓10采用了某些安全策略,将系统分区/system挂载为...