免责声明本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。前言浪师傅憋不出文章,让粉丝给了两个洞。看君一文章如看一文章!两个案例漏洞原理一样,主要是在忘记密...
十大最热门的开源IAM项目
作为零信任方案的支撑技术之一,IAM(身份和访问管理)是企业走上零信任道路的第一步,同时也是为零信任项目取得信任的关键一步,因为IAM不仅是“刚需”,而且是能够快速见效并展现价值的企业网络安全热门项目...
实战 | 记录一次JWT的越权渗透测试
简单介绍:在一次某行动暂停之后,某单位重新对自身的业务进行了评估,系统业务使用SSO进行登录,而这个SSO登录后的子系统访问采用JWT进行认证,因此有了这一个漏洞的发生,漏洞利用较为简单,各位师傅请见...
记一次地级市某行业专项攻防演练
本文章只做学习交流,请勿在未授权的情况下,进行攻击。本文章首发奇安信攻防社区,已获得原作者转载授权原文链接如下https://forum.butian.net/share/18540x00 前言202...
丰田、梅赛德斯、宝马 API 漏洞暴露车主个人信息
更多全球网络安全资讯尽在邑安全将近 20 家汽车制造商和服务包含 API 安全漏洞,这些漏洞可能允许黑客执行恶意活动,从解锁、启动和跟踪汽车到暴露客户的个人信息。这些安全漏洞影响了知名品牌,包括宝马、...
网络黑客vs.汽车行业:法拉利,宝马,劳斯莱斯,保时捷和更多的关键漏洞
本文翻译自samwcyo的博客2022 年秋天,我和几个朋友从伊利诺伊州芝加哥到华盛顿特区进行公路旅行,参加网络安全会议并(尝试)从我们平时的计算机工作中休息一下。在参观马里兰大学时,我们遇到了散落在...
密码的安全管理,OA登录锁定策略及特权账号管理方案| FB甲方群话题讨论
▎各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 202期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您...
从Okta源代码泄露看GitHub的安全威胁与防护
日前,知名云身份安全服务商Okta正式披露其私有GitHub存储库遭到黑客攻击,部分源代码遭泄露。尽管Okta公司表示,本次泄露事件不会造成其客户的隐私数据安全,Okta有充分的技术手段来保护用户服务...
浅谈身份认证安全体系
前言本文阅读需要10min,介绍了从SSO到MFA发展的身份认证安全体系的缺陷,再到FIDO对IAM的补充。最终介绍了ITDR(身份威胁检测和响应)等新理念以攻击者视角对零信任方案的补充。从SSO说起...
Zabbix SAML SSO 登录绕过漏洞(CVE-2022-23131)
产品简介Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位...
【技术分享】SSO中的身份账户不一致漏洞
由于其良好的可用性和安全性,单点登录 (SSO) 已被广泛用于在线身份验证。但是,它也引入了单点故障,因为所有服务提供商都完全信任由 SSO 身份提供商创建的用户的身份。在本文中调查了身份帐户不一致威...
面临风险的王国之钥:加速暴露的单点登录(SSO)凭据
“ “王国之钥”的泄露风险单点登录(SSO)凭据被网络安全专业人士认为是“王国之钥”。员工使用这些凭据登录一次就可以访问许多应用程序,可以说,SSO凭据是企业组织最不希望被窃取或在暗网上出...
6