id - 第 39 | CN-SEC 中文网

安全文章

Zabbix SAML SSO 认证绕过漏洞(CVE-2022-23131) 分析

Zabbix 是全球流行的企业级开源监控解决方案。CVE-2022-23131 的根本原因是 index_sso.php 中 session 获取逻辑存在问题，只要校验到 Cookie 中 usern...

03月30日151 views评论

阅读全文

应急响应

容器安全事件排查与响应

声明本文为笔者对实际容器安全事件的归纳，仅代表个人观点。文末为容器安全事件排查与响应思维导图。引子定位初始入侵位置首先要确认入侵是否发生在容器内，或者说只在容器内。场景：zabbix告警一个进程占用非...

03月29日65 views评论

阅读全文

安全闲碎

Kubernetes访问控制的10个关键要素

Kubernetes是一种用于管理容器化应用程序的自动化系统，它为开发人员提供了多种好处。它通过在现有 pod 崩溃时自动创建新 pod 来消除应用程序停机时间，并且它允许团队轻松扩展应用程序以适应流...

03月29日32 views评论

阅读全文

安全文章

如何使用s3sec检查AWS S3实例的读、写、删除权限

关于s3sec s3sec 是一款专门针对 AWS S3 实例的安全检测工具，在该工具的帮助下，广大研究人员可以轻松检测目标AWS S3 Buckets的读取、写入和删除权限。该...

03月27日101 views评论

阅读全文

浅谈网站失效的认证和会话管理

身份认证和会话管理：　　在进一步解释这种危险的漏洞之前，让我们了解一下身份认证和会话管理的基本知识。身份认证，最常见的是登录功能，往往是提交用户名和密码，在安全性要求更高的情况下，有防止密码暴力破解的...

03月27日安全文章73 views评论

阅读全文

安全文章

BurpSuite8.2 查找包含id参数的URL

一、通过BurpSuite随便浏览一下目标主机，越多越好二、通过筛选，获取我们想要的相关参数1、在Filter by search term输入筛选词2、勾选show&n...

03月26日53 views评论

阅读全文

安全文章

AnalyticsRelationships - 通过查看 Google Analytics ID 获取相关域/子域

此脚本尝试通过查看 URL 中的 Google Analytics ID 来获取相关域/子域。首先在网页...

03月26日34 views评论

阅读全文

安全闲碎

水印，水印，水

前言：今天看到新闻，阿里又向社会输送了10个人才，消息真假对于我们来说毫无意义，新闻里有说到去除个人ID的水印，今天我们来说说水印吧。1.数据防泄密之水印在大型甲方待过的一般都接触过DLP，其中DLP...

03月25日85 views评论

阅读全文

安全文章

经典案例 | 逻辑漏洞之零积分兑换iPhone

前言HackingClub是由民间网络安全爱好者自发建立的一个安全交流社区，我一直很欣赏这个社区，它通过线上微信社群+线下沙龙会议的形式构建起一个高质量、高活跃度的交流平台，也确确实实在为这个行业发展...

03月22日87 views评论

阅读全文

安全闲碎

一键下载所有文件｜突破Chrome插件--星球助手的下载限制

前言知识星球中有很多星主分享的文件。某一天，我想把这些文件都整理一下，结果发现只能手动一个一个去下载，于是就研究了一下如何批量下载。本想自己写个脚本实现，发现Chrome有个插件--星球伴侣，可以提供...

03月21日4,477 views评论

阅读全文

安全文章

记一次苦逼的sql注入

点击蓝字关注我们偶一打点，看到一个可爱的系统01通过F12 把链接提出来仔细瞅瞅02看见id，果断测注入感觉有戏嗯？啥数据库连接出错，啥意思？？？（其实，这是运维做的混淆..） ...

03月18日79 views评论

阅读全文

安全文章

API安全接口安全设计

移动端安全开发、移动端安全、网络安全视频课程(1).移动安全App安全检测、渗透测试、风控、隐私合规、加固防护、病毒逆向的视频课程(2).Android系统Framework、驱动、内核等模块的定制开...

03月14日46 views评论

阅读全文

在线咨询

微信