搜索精彩内容
包含"access control"的全部内容
挖洞经验 | 美国交友软件OkCupid平台的个人信息泄露漏洞 – 作者:clouds
OkCupid,美国免费的在线征婚交友和社交网站,拥有超过5000万注册用户,其中大多数年龄在25岁至34岁之间,是全球最受欢迎的约会平台之一。OkCupid支持多种通信模式交流,包括即时聊天APP和电子...
挖洞经验 | 利用深度链接方式后门化Facebook APP – 作者:clouds
近期,作者发现了Facebook安卓APP应用的一个深度链接漏洞,利用该漏洞,可以把用户手机上安装的Facebook安卓APP应用转变成后门程序(Backdoor),实现后门化。另外,利用该漏洞还可以重打包Face...
CVE-2020-1472 Netlogon权限提升漏洞分析 – 作者:深信服千里目安全实验室
一、漏洞信息1. 漏洞简述漏洞名称:Netlogon 权限提升漏洞漏洞编号:CVE-2020-1472漏洞类型:权限提升CVSS评分:10利用难度:简单基础用户:不需要2. 组件概述Netlogon远程协议是一个远程过程调...
看一名Java开发人员以红队思维五分钟审计一套代码(4) – 作者:冬雪在线挖洞
前言《看一名Java开发人员以红队思维五分钟审计一套代码》《看一名Java开发人员以红队思维五分钟审计一套代码(续) 》《看一名Java开发人员以红队思维五分钟审计一套代码(3)》此系列已经更新三...
挖洞经验 | 由postMessage引发并可导致Facebook账户劫持的DOM XSS – 作者:clouds
利用第一个漏洞可以通过postMessage方式从facebook.com网站中发送跨域(cross-origin)消息,存在漏洞的路径会接收攻击者在请求参数中构造的控制内容,同时会以postMessage请求中提供的数据创建...
CVE-2020-14882 WebLogic越权绕过登录分析 – 作者:宽字节安全实验室
简介weblogic 管理控制台需要用户名和密码去登录,但是通过该漏洞,可以绕过登录校验,直接进入后台访问weblogic的各种资源。补丁diff在这里我的weblogic版本为12.2.1.4,其他版本都大同小异。...
如何使用Django开发OpenRASP报警接收Web应用 – 作者:SHXiGi
一、引言百度的OpenRASP将Gartner在2014年提出的RASP(Runtime Application Self-Protection)安全防护技术进行了开源实现,使其迅速成为企业Web安全防护中的一个重要武器,有效...
私有云安全:容器安全设计实践 – 作者:dawner
私有云安全由于其合规性和独立性,不同于公有云和混合云,需要单独定制落地的流程和规划,这里跟大家简单聊聊关于容器安全设计的相关问题。容器安全综述容器安全架构设计,可以在其三大关键生命...
域渗透基本概念 – 作者:tomyyyyy
0x01 什么是内网?内网就是局域网(LAN),比如内网中的机器,输入ipconfig /all发现我们的ip是192.168..,内网中一号机器是192.168.0.1,二号机器是192.168.0.2,以此类推,但是我们在浏览器中...
从官方文档到0day挖掘思路 – 作者:Mr丶丶柴机
开篇废话我很喜欢ASRC某位大佬说过的一句话:挖洞的本质就是信息收集。一些开源项目的官方文档我们可以挖掘到很多有用信息,比如API利用、默认口令、硬编码等。本文主要以提供思路为目的,现在...