1.概述认证绕过漏洞是现在 Web 应用中存在的常见缺陷,但它们并不总是那么容易被发现。随着技术的不断发展,各式各样的平台整合,传统的身份验证方法正在逐渐减少,新的验证方式不仅为用户使用提供了便捷,安...
03月20日86 views评论jwt
身份验证
绕过认证的五种方式
03月20日86 views评论jwt
身份验证
03月20日86 views评论jwt
身份验证
实战 -- 记一次艰难的外网打点
前言这是本系列第二篇文章,依然是某省HVV中的红队经历,这次的目标是某著名饮料企业。上一篇写的有点水,更像是成果展示了,我这次着重写外网打点的整个思路流程。PS:对于上一篇,已经稍微补充了一些,但可能...
03月07日40 views评论app
弱口令
edusrc之有手就行的逻辑漏洞
免责声明本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。前言浪师傅憋不出文章,让粉丝给了两个洞。看君一文章如看一文章!两个案例漏洞原理一样,主要是在忘记密...
03月01日76 views评论http
密码
十大最热门的开源IAM项目
作为零信任方案的支撑技术之一,IAM(身份和访问管理)是企业走上零信任道路的第一步,同时也是为零信任项目取得信任的关键一步,因为IAM不仅是“刚需”,而且是能够快速见效并展现价值的企业网络安全热门项目...
02月21日193 views评论身份验证
零信任
实战 | 记录一次JWT的越权渗透测试
简单介绍:在一次某行动暂停之后,某单位重新对自身的业务进行了评估,系统业务使用SSO进行登录,而这个SSO登录后的子系统访问采用JWT进行认证,因此有了这一个漏洞的发生,漏洞利用较为简单,各位师傅请见...
02月21日22 views评论oracle
渗透测试
记一次地级市某行业专项攻防演练
本文章只做学习交流,请勿在未授权的情况下,进行攻击。本文章首发奇安信攻防社区,已获得原作者转载授权原文链接如下https://forum.butian.net/share/18540x00 前言202...
02月16日35 views评论web
工具
丰田、梅赛德斯、宝马 API 漏洞暴露车主个人信息
更多全球网络安全资讯尽在邑安全将近 20 家汽车制造商和服务包含 API 安全漏洞,这些漏洞可能允许黑客执行恶意活动,从解锁、启动和跟踪汽车到暴露客户的个人信息。这些安全漏洞影响了知名品牌,包括宝马、...
01月07日34 views评论sso
个人信息
网络黑客vs.汽车行业:法拉利,宝马,劳斯莱斯,保时捷和更多的关键漏洞
本文翻译自samwcyo的博客2022 年秋天,我和几个朋友从伊利诺伊州芝加哥到华盛顿特区进行公路旅行,参加网络安全会议并(尝试)从我们平时的计算机工作中休息一下。在参观马里兰大学时,我们遇到了散落在...
01月07日69 views评论rest
电子邮件地址
密码的安全管理,OA登录锁定策略及特权账号管理方案| FB甲方群话题讨论
▎各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 202期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您...
01月07日59 views评论信息安全
身份验证
从Okta源代码泄露看GitHub的安全威胁与防护
日前,知名云身份安全服务商Okta正式披露其私有GitHub存储库遭到黑客攻击,部分源代码遭泄露。尽管Okta公司表示,本次泄露事件不会造成其客户的隐私数据安全,Okta有充分的技术手段来保护用户服务...
12月29日34 views评论源代码
身份验证
浅谈身份认证安全体系
前言本文阅读需要10min,介绍了从SSO到MFA发展的身份认证安全体系的缺陷,再到FIDO对IAM的补充。最终介绍了ITDR(身份威胁检测和响应)等新理念以攻击者视角对零信任方案的补充。从SSO说起...
12月16日81 views评论cookie
弱口令
Zabbix SAML SSO 登录绕过漏洞(CVE-2022-23131)
产品简介Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位...
11月09日85 views评论output
身份验证
5