随着数字化转型加速、移动化普及,远程办公早已成为一种常态。在远程办公过程中,企业需要确保员工能够安全、便捷地访问企业内部资源。例如,员工在登录 Fortinet VPN 时,除了使用账号和密码,是否可...
零信任技术架构之增强IAM
IAM全称在Identity and access management (IAM) ,身份和访问管理平台,他的核心能力身份管理(identity)、认证管理(authentication)、授权管理...
从SSO认证缺陷到任意用户登录漏洞
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦原文链接:https://xz.aliyun.com/t/13848最近在项目中碰到了app中SS...
云端IAM身份管理的七大专属挑战
随着企业纷纷“上云”,安全和风险管理团队开始将目光聚焦于身份管理,将其视为新的安全防线,即所谓的“身份成为新的安全边界”。然而,与传统的本地环境相比,云端的身份和访问管理(IAM)实施和维护面临着独特...
【1day】Casdoor单点登录系统SQL注入CVE-2022-24124【附POC】
声明:此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间...
一次艰难的省HVV外网打点
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
绕过认证的五种方式
1.概述 认证绕过漏洞是现在 Web 应用中存在的常见缺陷,但它们并不总是那么容易被发现。 随着技术的不断发展,各式各样的平台整合,传统的身份验证方法正在逐渐减少,新的验证方式不仅为用户使用提供了便捷...
【干货分享】绕过认证的五种方式
1.概述 认证绕过漏洞是现在 Web 应用中存在的常见缺陷,但它们并不总是那么容易被发现。 随着技术的不断发展,各式各样的平台整合,传统的身份验证方法正在逐渐减少,新的验证方式不仅为用户使用提供了便捷...
绕过认证的五种方式
1.概述认证绕过漏洞是现在 Web 应用中存在的常见缺陷,但它们并不总是那么容易被发现。随着技术的不断发展,各式各样的平台整合,传统的身份验证方法正在逐渐减少,新的验证方式不仅为用户使用提供了便捷,安...
实战 -- 记一次艰难的外网打点
前言这是本系列第二篇文章,依然是某省HVV中的红队经历,这次的目标是某著名饮料企业。上一篇写的有点水,更像是成果展示了,我这次着重写外网打点的整个思路流程。PS:对于上一篇,已经稍微补充了一些,但可能...
Apereo cas 密钥硬编码反序列化漏洞
最近也是在工作中遇到这个漏洞,之前没接触过,而且这个漏洞也比较老了,是2016年发现的,并且是基于反序列化产生的,所以就打算学习并且做一下复现,如果以后再遇到的时候能够知道该如何分析。 Apereo ...
JWT 原理与设计上的缺陷及利用(基础篇)
基本概念JSON Web Token (JWT)是一个开放标准 ( RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象的形式安全传输信息。此信息可以验证和信任,...