鉴权 - 第 2 | CN-SEC 中文网

代码审计

浅谈 URL 解析与鉴权中的陷阱

最近一段时间都在审计 Java 代码，也算是积累了一些各式各样小技巧，但总感觉不够体系化。因此有必要先停下来，跳出业务逻辑并后退一步，更加深入地思考一下漏洞背后的成因。前言说到 URL 解析，想必关注...

07月29日32 views评论

阅读全文

安全文章

openfire鉴权绕过漏洞原理解析

Openfire是根据开放源 Apache 许可获得许可的实时协作（RTC）服务器。它使用唯一被广泛采用的用于即时消息的开放协议 XMPP（也称为 Jabber...

06月13日77 views评论

阅读全文

安全文章

RocketMQ 最新漏洞手把手复现 CVE-2023-33246

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”...

06月09日812 views评论

阅读全文

安全文章

Nacos在攻防中的权限绕过总结 (附一键利用脚本)

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。宝子们现在只对常读和星标的公众号才展示大...

05月18日467 views评论

阅读全文

安全文章

一个由“API未授权漏洞”引发的百万级敏感数据泄露

2023年4月的某一天，腾讯安全专家Leo正在为某家医院的重保防护做第一轮的安全风险排查。医院的专用APP是外部网络访问最高的，也就是最大的风险敞口，需要重点排查。Leo下载APP进行测试后，发现该医...

05月16日62 views评论

阅读全文

安全文章

漏洞分析 |【原创】Nacos历史+最新漏洞详细分析(附利用方法)

0x01 Nacos < 2.2.0默认jwt密钥未授权访问部署Nacos部署通过代理下载nacos-server-2.2.0传到服务器：解压后进入bin目录启动 bash startup.s...

03月20日1,947 views已关闭评论

阅读全文

安全漏洞

QVD-2023-6271--Nacos 身份认证绕过漏洞复现

听说这个漏洞关注度很高，21年的时候也是因为身份绕过的问题做过nacos的分析，不过那个时候更多的用户是配置问题（默认是无鉴权），关于nacos，我提一下我的看法，对于nacos的使用者来说，用这个就...

03月16日217 views评论

阅读全文

安全新闻

漏洞风险提示| Nacos 身份认证绕过漏洞

长亭漏洞风险提示 Nacos 身份认证绕过漏洞Nacos 是一个便于构建云原生应用的动态服务...

03月14日210 views评论

阅读全文

代码审计

Vue路由守卫导致的越权

最近Src挖了不少的Vue框架的逻辑，本来想过段时间整合发的，但最近发生了一些事情，估计后面也没太多机会了...描述: Vue框架是一款Web前后端分离的框架，他大部分时间处理的是动态路由...

03月07日241 views评论

阅读全文

安全工具

一款API水平越权漏洞检测工具

概述通过替换认证信息后重放请求，并对比数据包结果，判断接口是否存在越权漏洞详细介绍：水平越权挖掘技巧与自动化越权漏洞检测特点支持HTTPS自动过滤图片/js/css/html页面等静态内容多线程检测，...

02月09日148 views评论

阅读全文

安全闲碎

大型 IoT 物联网平台如何保障亿级设备安全连接上云？

01.华为云 IoTDA业务流华为云IoT设备接入云服务（简称“IoTDA”）提供海量设备的接入和管理能力，可以将IoT设备联接到华为云，支撑设备数据采集上云和云端下发命令给设备进行远程控制...

01月23日20 views评论

阅读全文

安全闲碎

《你安全吗》技术解读（三）

🐶伪基站狭义的基站是无线电台站的一种形式，其介于手机用户和基站控制器(BSC)之间，一方面，基站将信号送至塔顶的天线，再发送至手机；另一方面，它将手机发送过来的信号通过本地网的接入传输设备传送至基站控...

09月26日45 views评论

阅读全文

浅谈 URL 解析与鉴权中的陷阱

openfire鉴权绕过漏洞原理解析

RocketMQ 最新漏洞手把手复现 CVE-2023-33246

Nacos在攻防中的权限绕过总结 (附一键利用脚本)

一个由“API未授权漏洞”引发的百万级敏感数据泄露

漏洞分析 |【原创】Nacos历史+最新漏洞详细分析(附利用方法)

QVD-2023-6271--Nacos 身份认证绕过漏洞复现

漏洞风险提示| Nacos 身份认证绕过漏洞

Vue路由守卫导致的越权

一款API水平越权漏洞检测工具

大型 IoT 物联网平台如何保障亿级设备安全连接上云？

《你安全吗》技术解读（三）

在线咨询

微信