API安全 Application Program...
03月18日31 views评论密钥
敏感数据
漏洞风险提示| Nacos 身份认证绕过漏洞
注册表修改测试
本文由孙林轩编译,陈裕铭、Roe校对,转载请注明。 在查看一些关于恶意软件和其他威胁参与者如何“使用”注册表满足他们的需求的各种公开报告后,我想从DFIR的角度,看看这些行为的效果及影响。我想从一种类...
03月10日65 views评论恶意软件
注册表
CTF逆向常见加密技术以及解题方法
别忘了 星标我!●常见加密技术● 目前发现的比较常见的密钥加密技术有RC4以及TEA系列加密 TEA TEA(Tiny Encryption Algorithm,小型加密算法)是一种对称...
03月06日635 views评论v
加密
密码学 |5.6 信息论
5.6 信息论1948年 和 1949年,克劳德·香农(Claude Shannon)发表了两篇论文《A mathematical theory of communication》、《Communic...
03月02日79 views评论安全
密码学
APK应用程序是否签名异常的检测方法
0x01 APK应用程序是否签名异常的检测方法要在Android上安装APK必须要进行数字签名,数字签名用于验证应用程序更新的所有者身份,验证的目的是为了防止APK应用程序被篡改或修改APK来包含恶意...
02月24日201 views评论android
应用程序
漏洞复现 Pd-CMS Shiro默认密钥 远程命令执行漏洞
0x01 阅读须知融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统...
02月22日478 views评论漏洞复现
网络安全
干货 | 冰蝎各版本工具分析与魔改思路
0x00 V2版本1. 项目github项目:https://github.com/rebeyond/Behinder/releases/V2 源码:https://github.com/hktale...
02月18日185 views评论com
https
Yellowfin解决了为RCE打开大门的身份验证绕过漏洞三重奏
流行的企业分析平台Yellowfin BI中修复了因使用硬编码密钥而导致的三个身份验证绕过漏洞。在发现预身份验证漏洞后,Assetnote的安全研究人员随后找到了一条执行命令的身份验证后路径。这些由A...
02月17日33 views评论rce
身份验证
记一次对HTB:Timelapse的渗透测试
主机发现端口扫描通过nmap进行端口端侧,发现存在18个开放端口。发现存在(Kerberos + LDAP + DNS + SMB)这种端口组合。说明可能dc01.timelapse.htb是域控制器...
02月16日31 views评论smb
密码
浅谈JWT越权原理与利用
1.什么是JWTJWT=JSON+WEB+TOKEN,它并不是一个具体的技术实现,而更像是一种标准。JWT规定了数据传输的结构,一串完整的JWT由三段落组成,每个段落用英文句号连接(.)连接;他们分别...
02月14日343 views评论cve
payload
研究人员从西门子PLC中提取主加密密钥
安全研究人员近日发现了一种方法,可以成功提取被硬编码在多款西门子可编程逻辑控制器(PLC)产品系列的CPU中的全局加密密钥,从而使他们能够破坏其安全通信和身份验证。西门子建议所有客户升级受影响设备的固...
01月30日37 views评论加密
研究人员
26