免责声明本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。前言浪师傅憋不出文章,让粉丝给了两个洞。看君一文章如看一文章!两个案例漏洞原理一样,主要是在忘记密...
03月01日63 views评论http
密码
edusrc之有手就行的逻辑漏洞
03月01日63 views评论http
密码
03月01日63 views评论http
密码
十大最热门的开源IAM项目
作为零信任方案的支撑技术之一,IAM(身份和访问管理)是企业走上零信任道路的第一步,同时也是为零信任项目取得信任的关键一步,因为IAM不仅是“刚需”,而且是能够快速见效并展现价值的企业网络安全热门项目...
02月21日98 views评论身份验证
零信任
实战 | 记录一次JWT的越权渗透测试
简单介绍:在一次某行动暂停之后,某单位重新对自身的业务进行了评估,系统业务使用SSO进行登录,而这个SSO登录后的子系统访问采用JWT进行认证,因此有了这一个漏洞的发生,漏洞利用较为简单,各位师傅请见...
02月21日17 views评论oracle
渗透测试
记一次地级市某行业专项攻防演练
本文章只做学习交流,请勿在未授权的情况下,进行攻击。本文章首发奇安信攻防社区,已获得原作者转载授权原文链接如下https://forum.butian.net/share/18540x00 前言202...
02月16日27 views评论web
工具
丰田、梅赛德斯、宝马 API 漏洞暴露车主个人信息
更多全球网络安全资讯尽在邑安全将近 20 家汽车制造商和服务包含 API 安全漏洞,这些漏洞可能允许黑客执行恶意活动,从解锁、启动和跟踪汽车到暴露客户的个人信息。这些安全漏洞影响了知名品牌,包括宝马、...
01月07日24 views评论sso
个人信息
网络黑客vs.汽车行业:法拉利,宝马,劳斯莱斯,保时捷和更多的关键漏洞
本文翻译自samwcyo的博客2022 年秋天,我和几个朋友从伊利诺伊州芝加哥到华盛顿特区进行公路旅行,参加网络安全会议并(尝试)从我们平时的计算机工作中休息一下。在参观马里兰大学时,我们遇到了散落在...
01月07日63 views评论rest
电子邮件地址
密码的安全管理,OA登录锁定策略及特权账号管理方案| FB甲方群话题讨论
▎各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 202期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您...
01月07日37 views评论信息安全
身份验证
从Okta源代码泄露看GitHub的安全威胁与防护
日前,知名云身份安全服务商Okta正式披露其私有GitHub存储库遭到黑客攻击,部分源代码遭泄露。尽管Okta公司表示,本次泄露事件不会造成其客户的隐私数据安全,Okta有充分的技术手段来保护用户服务...
12月29日27 views评论源代码
身份验证
浅谈身份认证安全体系
前言本文阅读需要10min,介绍了从SSO到MFA发展的身份认证安全体系的缺陷,再到FIDO对IAM的补充。最终介绍了ITDR(身份威胁检测和响应)等新理念以攻击者视角对零信任方案的补充。从SSO说起...
12月16日55 views评论cookie
弱口令
Zabbix SAML SSO 登录绕过漏洞(CVE-2022-23131)
产品简介Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位...
11月09日81 views评论output
身份验证
【技术分享】SSO中的身份账户不一致漏洞
由于其良好的可用性和安全性,单点登录 (SSO) 已被广泛用于在线身份验证。但是,它也引入了单点故障,因为所有服务提供商都完全信任由 SSO 身份提供商创建的用户的身份。在本文中调查了身份帐户不一致威...
11月03日42 views评论电子邮件
身份验证
面临风险的王国之钥:加速暴露的单点登录(SSO)凭据
“ “王国之钥”的泄露风险单点登录(SSO)凭据被网络安全专业人士认为是“王国之钥”。员工使用这些凭据登录一次就可以访问许多应用程序,可以说,SSO凭据是企业组织最不希望被窃取或在暗网上出...
10月29日29 views评论攻击者
身份验证
6