2020年11月10日，微软发布补丁修复了Kerberos KDC 安全功能绕过漏洞(CVE-2020-17049，Kerberos Bronze Bit Attack)，漏洞等级为严重级别。2020年12月，国外安全厂商公开发布了该漏洞的验证脚本...

在这个时代，Web 和移动应用程序通常是由 RESTful 网络服务提供支持的。 公共和私有 API 在互联网上非常普遍，测试这些 API 绝非易事，但有一些工具可以帮助你。 虽然(通常用与渗透测试)工具不...

概述 小和尚念经有口无心，这个歇后语用在认证和授权这两个初学安全架构一定会犯的错误上是最合适不过的。认证和授权这两个名词大部分人是不陌生的，但是在工作中碰到具体的业务问题的时候就无...

该Writeup涉及Facebook旗下VR穿戴公司Oculus论坛forums.oculusvr.com，攻击者利用其存在的XSS漏洞可以窃取受害者登录Oculus官网时的访问令牌(Access Token)，以此实现对Facebook和关联Oculus用...

Spring Messaging 远程命令执行漏洞（CVE-2018-1270）在spring messaging中，其允许客户端订阅消息，并使用selector过滤消息。selector用SpEL表达式编写，并使用StandardEvaluationContext解析...

抱歉，来晚了！最近疫情又有点严重了，被迫在家办公，复现完漏洞，点开微信群看到群里小伙伴最近都在讨论态势感知系统，于是我有了写文章的冲动，哈哈哈，我又提起了笔杆子，说到态势感知不得不...

近期在SDLC自动化安全扫描阶段，由于调整了扫描策略，扫出了一些跨域资源共享问题，针对这类问题，通过CSP配置能够有效解决，但日常开发过程中，对于CSP的认识相对较少，并且不知道如何进行配置...

身份云平台 Authing 宣布完成 500 万美元 Pre-A 轮融资，由 GGV 纪源资本独家投资，由远识资本担任独家财务顾问。Authing 曾在 2020 年获得来自华创资本和奇绩创坛的千万级天使轮融资。Authing ...

前言SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成，由服务端发起请求的一个安全漏洞。SSRF是笔者比较喜欢的一个漏洞，因为它见证了攻防两端的对抗过程。本篇文...

相传远古时代，天柱倾倒，天塌地陷，百姓深受猛禽恶兽残害。为拯救百姓于水深火热之中，女娲炼彩石、斩鳖足、修补苍天、重立四极天柱。故天地得以平整，人类得以安居。此后，世人便将女娲奉为补...