记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Zimbra认证绕过漏洞成功入侵超过1000台服务器

Zimbra是一套邮箱和协同办公平台,包括WebMail,日历,通信录,Web文档管理等功能,有140个国家的超过20万企业使用,其中包括超过1000个政府和金融机构。CVE-2022-27925漏洞Volexity研究人员发现了一个Zimbra认证绕过漏洞(CVE-2022-27925)被用于攻击Zimbra Collaboration Suite (ZCS)邮箱服务器。在调查一起Zimbra邮件服务器入侵事件过程中,Volexity发现ZCS远程利用是根本原因。检查入侵服务器的web日志发现,漏洞利用预之前写入webshell到硬盘的漏洞是一致的。
发布时间:2022-08-14 11:59 | 阅读:148350 | 评论:0 | 标签:漏洞 入侵 认证

记某个认证小靶场

因为绝大部分非常简单,在我的公众号前期文章中就能找到答案,所以这里大部分题型都只给出题目,这些你会做还是不会做看题目基本就知道了。CSRF之钓鱼修改管理员密码。SSRF之dict协议操作redis写webshell。XXE之java oob,excel xxe oob。SQL注入之数字型,字符型,盲注,orderby注入,limit注入,宽字节注入,二次注入+报错注入,注入写webshell。fastjson之1.2.24反序列化。struts2之S2-052ghostscript之CVE-2018-19475。这其中唯一有点难度的是二次注入+布尔盲注。
发布时间:2022-08-13 13:44 | 阅读:79506 | 评论:0 | 标签:靶场 认证

天融信太行云与观测云完成产品兼容性互认证

天融信太行云与观测云顺利完成产品兼容性互认证!近日,天融信与上海驻云信息就天融信太行云与观测云产品展开适配测试,经过兼容性、稳定性以及性能等多维度的综合深度测试,各方面指标均表现优异,顺利完成兼容性认证。此次兼容性互认证使双方达成良好的生态合作,为客户在云平台建设、云平台管理、基础硬件监控、应用程序性能检测等方面提供了完善的解决方案。天融信太行云:推动客户云平台建设天融信太行云秉承成为客户值得信赖的云专家的理念,在同一个平台中提供超融合、桌面云、云存储、云灾备、云容器、云安全等能力,可为客户建设超融合、桌面云、边缘云、私有云、混合云等全场景全栈的云平台。
发布时间:2022-08-12 13:56 | 阅读:27820 | 评论:0 | 标签: 认证

厚积薄发!安全狗再次获得科技成果转化认证!

近日,厦门市科学技术局公布了2021年度厦门市高新技术成果转化项目入选名单。作为国内云安全CWPP领导厂商,安全狗凭借旗下硬核产品,入选此次名单。安全狗成立于2013年,自成立以来就致力于提供云安全领域相关产品、服务及解决方案,是国内最早引入云工作负载安全(CWPP)概念,并成功构建相应产品线的专业云安全厂商。据悉,此次调研主要围绕核心技术类别、是否自主研发创新、是否拥有相关知识产权、技术成熟度、是否通过国家认证认可检测机构的检测等展开。在符合了上述各项标准,同时经过多轮的严格测试,安全狗旗下核心产品云工作负载安全解决方案获得高度肯定,最终获得此份殊荣。
发布时间:2022-08-09 14:53 | 阅读:32836 | 评论:0 | 标签:安全狗 安全 认证

Mantis BT CVE-2017-7615任意密码重置+认证后RCE漏洞分析

概述Mantis BT是一个BUG管理系统,用php编写,系统相对简单轻量级,开源。CVE-2017-7615漏洞影响MantisBT2.3.0及之前的版本,攻击者可通过向verify.php文件传递空的confirm_hash值利用该漏洞重置任意密码,获取管理员访问权限。
发布时间:2022-08-08 11:53 | 阅读:143162 | 评论:0 | 标签:漏洞 CVE 分析 RCE 认证 密码

Okta平台出现认证漏洞

根据周二的一份报告,Authomize的研究人员在身份和访问管理(IAM)平台Okta中发现了四个具有"高影响"的安全风险。这些风险包括通过SCIM(跨域身份管理系统)的明文密码泄漏,通过未加密的HTTP通道共享密码和其他数据,允许管理员入侵其他组织的IT环境,以及进行身份日志欺骗。利用这些风险攻击者可以窃取认证数据,访问敏感的个人和财务信息,并破坏Okta管理的IT环境。IAM中的风险IAM软件可以用来组织管理哪些人可以访问IT环境中的资源。
发布时间:2022-08-07 11:59 | 阅读:165391 | 评论:0 | 标签:漏洞 认证

加速国产适配,敏捷数据管理平台ADM再获6项华为云鲲鹏技术认证证书

炎炎酷暑抵挡不住我们前进的步伐,近期上讯信息与战略好伙伴华为云的深入合作又传来了好消息。经过对产品架构、功能、性能及安全性等多维度的严格测试,上讯信息敏捷数据管理平台ADM(以下简称:ADM)再获6项华为云鲲鹏技术认证证书,标志着ADM与华为鲲鹏生态体系的完美融合,可为更多场景用户提供安全、自主可控的解决方案。
发布时间:2022-08-04 15:46 | 阅读:30900 | 评论:0 | 标签:上讯信息 技术认证 敏捷数据管理 认证

补丁分析发现Zyxel认证绕过(CVE-2022-0342)

译者注:直接英译中后语句太过拗口,在不改变原意的情况下做了些许调整原文:Zyxel authentication bypass patch analysis (CVE-2022-0342)几个月前,许多Zyxel设备发布了新固件来修补漏洞。随后许多新闻媒体报道了该漏洞,但没有公布技术细节。
发布时间:2022-08-04 14:49 | 阅读:50630 | 评论:0 | 标签:CVE 分析 认证

中国信通院完成首批广告平台企业TAG数字广告流量反欺诈认证

近日,中国信息通信研究院(以下简称“中国信通院”)完成了对首批广告平台企业的TAG CAF数字广告流量反欺诈认证工作,华为软件技术有限公司、京东零售顺利通过认证。HUAWEI Ads平台和京东“京准通”平台具备数字广告流量反欺诈能力,符合国家标准GB/T 34090.2《互动广告 第2部分:投放验证要求》和TAG流量反欺诈认证规范《TAG Certified Against Fraud Guidelines》要求。近年来全球数字广告流量造假问题突出,造成了严重的资源浪费和财产损失。
发布时间:2022-08-03 16:53 | 阅读:37973 | 评论:0 | 标签:中国 认证

JumpServer开源堡垒机完成龙芯架构兼容性认证

2022年8月2日,中国领先的开源软件提供商FIT2CLOUD飞致云宣布,JumpServer开源堡垒机通过龙芯架构兼容性认证。经过严格验证,LoongArch龙芯架构与JumpServer运维安全审计系统V2.0在龙芯3A5000/3C5000L平台上完成兼容性测试,功能与稳定性良好,获得由龙芯中科技术股份有限公司颁发的《龙芯架构兼容互认证书》。
发布时间:2022-08-02 18:37 | 阅读:35317 | 评论:0 | 标签:运维安全 飞致云 认证

中国信通院:车联网身份认证和安全信任试点项目整体进展良好

中国信通院官微消息,7月29日,由中国信息通信研究院、中国汽车技术研究中心有限公司联合主办的车联网身份认证和安全信任试点工作交流会议在线上召开。中国信通院介绍试点项目整体进展及工业和信息化部车联网安全信任根管理平台建设情况。总体来看,试点项目进展良好,基本按照《车联网身份认证和安全信任试点技术指南(1.0)》定义的参考架构实施建设,有序推进车联网身份认证系统建设、安全通信、示范应用、商用密码应用等各方面工作。
发布时间:2022-08-02 16:37 | 阅读:28760 | 评论:0 | 标签:安全 中国 认证 身份

基于软件的汽车零部件认证自检.ppt

点击上方蓝色字体,关注我们/ 技术交流群 /添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自
发布时间:2022-08-01 01:51 | 阅读:44478 | 评论:0 | 标签:认证 汽车

奇安信获得中国信通院全系列数据安全产品认证

7月28日,由中国信息通信研究院(以下简称“中国信通院”)安全研究所主办,数据安全共同体计划和大数据应用与安全创新实验室承办的 “数据安全峰会2022”在北京召开。本次峰会公布了最新一批数据安全产品能力验证名单,奇安信旗下多款数据安全产品,全部通过了中国信通院在开展的七大品类的测评认证,成为获得全套数据安全产品测评资质证书的网络安全企业。 “七箭齐发” 奇安信拼出数据安全“全景图”“能一次性通过中国信通院全系列、共计7大品类的数据安全产品测评认证,充分证明了奇安信在数据安全版图的战略地位。
发布时间:2022-07-29 12:45 | 阅读:35836 | 评论:0 | 标签:数据安全 安全 中国 认证

奇安信成为首家获得中国信通院全系列数据安全认证企业

7月28日,由中国信息通信研究院(以下简称“中国信通院”)安全研究所主办,数据安全共同体计划和大数据应用与安全创新实验室承办的 “数据安全峰会2022”在北京召开。本次峰会公布了最新一批数据安全产品能力验证名单,奇安信旗下多款数据安全产品,全部通过了中国信通院在开展的七大品类的测评认证,成为首家获得全套数据安全产品测评资质证书的网络安全企业。“七箭齐发” 奇安信拼出数据安全“全景图”“能一次性通过中国信通院全系列、共计7大品类的数据安全产品测评认证,充分证明了奇安信在数据安全版图的战略布局已处于领先地位。
发布时间:2022-07-28 20:47 | 阅读:54078 | 评论:0 | 标签:数据安全 安全 中国 认证

施耐德ControlExpert绕过PLC仿真器和项目认证过程漏洞:CVE-2020-28211

Schneider Electric EcoStruxure Control Expert(前称Unity Pro)是法国施耐德电气(Schneider Electric)公司的一套用于Schneider Electric逻辑控制器产品的编程软件。该软件的V14.1以下的版本存在一个不正确的授权漏洞-CVE-2020-28211,可导致项目的身份验证被绕过。Part1漏洞状态漏洞细节漏洞POC漏洞EXP在野利用有有有无Part2漏洞描述EcoStruxure Control Expert上存在不正确的授权漏洞,当使用调试器或其他方法覆盖内存时,该漏洞可能导致绕过身份验证。
发布时间:2022-07-28 13:42 | 阅读:157328 | 评论:0 | 标签:exp 漏洞 CVE 认证

CVE-2022-26138 Confluence 应用程序身份认证硬编码漏洞分析与复现

#漏洞分析 145 个 #Confluence 3 个 #CVE-2022-26138 1 个 #硬编码漏洞 1 个 ★且听安全★-点关注,不迷路!★漏洞空间站★-优质漏洞资源和小伙伴聚集地!漏洞
发布时间:2022-07-25 11:04 | 阅读:165373 | 评论:0 | 标签:漏洞 CVE 分析 认证 身份

恭喜ID[飞翔的猫咪]获看雪安卓应用安全能力认证高级安全工程师!

#“雪花”创作激励计划 121个 恭喜看雪论坛ID【飞翔的猫咪】获得看雪安卓应用安全能力认证高级安全工程师!逆向分析sign算法(题目出自看雪高研班2021年11月份作业)看雪论坛作者ID:飞翔的猫咪题目: 分析出KanxueSign函数的算法还原的代码在附件中,编译:g++ main.cpp base64.c1.分析:纯c算法的逆向,有很多的ollvm,所以这道题完成以后可以更加熟悉处理ollvm的程序。
发布时间:2022-07-24 19:52 | 阅读:65613 | 评论:0 | 标签:安全 认证

《关于开展网络安全服务认证工作的实施意见(征求意见稿)》发布

为推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量,促进网络安全服务产业健康有序发展,7月21日,国家市场监管总局今天对外发布了由市场监管总局联合中央网信办、公安部研究起草的《关于开展网络安全服务认证工作的实施意见(征求意见稿)》(以下简称《征求意见稿》)。根据《征求意见稿》规定,网络安全服务认证目录由市场监管总局会同中央网信办、公安部根据市场需求和产业发展状况确定并适时调整,现阶段包括检测评估、安全运维、安全咨询和等级保护测评等服务类别。认证规则和认证标志由市场监管总局征求中央网信办、公安部意见后另行制定发布。
发布时间:2022-07-23 11:52 | 阅读:70786 | 评论:0 | 标签:网络安全 安全 网络 认证

通知 | 市场监管总局公开征求《关于开展网络安全服务认证工作的实施意见(征求意见稿)》意见(附全文)

扫码订阅《中国信息安全》杂志邮发代号 2-786征订热线:010-82341063市场监管总局关于公开征求《关于开展网络安全服务认证工作的实施意见(征求意见稿)》意见的通知为贯彻落实《网络安全法》等法律法规要求,充分发挥质量认证工作在加强网络安全服务机构管理、提升网络安全服务质量等方面的重要支撑作用,市场监管总局联合中央网信办、公安部研究起草了《关于开展网络安全服务认证工作的实施意见(征求意见稿)》,现向社会公开征求意见。公众可在8月21日前,通过如下方式以下途径和方式提出意见。一、通过电子邮件将意见发送至:xfprzc@samr.gov.cn。
发布时间:2022-07-22 19:53 | 阅读:66900 | 评论:0 | 标签:网络安全 安全 网络 认证

《关于开展网络安全服务认证工作的实施意见(征求意见稿)》公布

国家市场监管总局近日公布《关于开展网络安全服务认证工作的实施意见(征求意见稿)》《实施意见》提出,将确定并适时调整网络安全服务认证目录,组建网络安全服务认证技术委员会,从事网络安全服务认证活动的认证机构应当依法设立,具备从事网络安全服务认证活动的专业能力,并经市场监管总局征求中央网信办、公安部意见后批准取得资质等9项意见。公众可通过电子邮件及信函的方式提出意见,征求意见的截止日期为8月21日。
发布时间:2022-07-22 13:56 | 阅读:38920 | 评论:0 | 标签:网络安全 安全 网络 认证

车联网身份认证和安全信任试点技术指南(1.0)

点击上方蓝色字体,关注我们/ 汽车网络信息安全技术交流群 /添加微信15021948198,申请会员下载ppt & 加入网络信息安全技术交流群&am
发布时间:2022-07-20 01:46 | 阅读:51019 | 评论:0 | 标签:安全 认证 身份

Ceph认证的三层含义(下)

1. Ceph认证回顾service secret内容比较多,值得我们用一篇文章详细介绍。2. service secretservice secret是用来加解密service ticket的,由monitor生成,monitor会为每个service组件维护一个id和service secret的对应关系。id service secret1 key12 key23 key3这表示一个service服务所拥有的的service secret列表,每个service服务都会有这样一个列表。
发布时间:2022-07-19 11:00 | 阅读:40843 | 评论:0 | 标签:认证

《商用密码产品认证目录(第二批)》发布

2022年第24号关于发布《商用密码产品认证目录(第二批)》的公告为贯彻落实《中华人民共和国密码法》,进一步健全完善商用密码产品认证体系,更好满足商用密码产业发展需要,根据《国家密码管理局  市场监管总局关于调整商用密码产品管理方式的公告》(第39号)、《市场监管总局  国家密码管理局关于开展商用密码检测认证工作的实施意见》(国市监认证〔2020〕50号),现将《商用密码产品认证目录(第二批)》予以发布,自发布之日起实施。
发布时间:2022-07-14 15:44 | 阅读:23420 | 评论:0 | 标签:商用密码 商用密码产品 认证 密码

CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞

 前言结合自身经历,在使用正则表达式去匹配流量特征时,由于正则表达式中元字符“.”不匹配换行符(n、r)导致一直提取不上所需的流量。而如今,之前踩过的坑却出现在了Apache Shiro框架之中…… 漏洞描述6月29日,Apache 官方披露 Apache Shiro 权限绕过漏洞(CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。
发布时间:2022-07-12 11:50 | 阅读:61727 | 评论:0 | 标签:exp 漏洞 CVE 认证

QQ二维码认证机制(舔狗认证)+二维码认证漏洞

前言:二维码登录都有这个缺陷,我19年就提SRC被忽略了,这次把两篇文章二合一整理一下再次发出来。   QQ二维码认证机制(舔狗认证) 前言:前两天看见两个小伙伴写了二维码钓鱼,但是均表达的有点小乱加上图片的失真问题。这里我重新再写一遍。分为二维码的认证机制+二维码钓鱼两篇。   1.抓包分析 既然是基于网络流量的认证首选当然是抓包啦。
发布时间:2022-07-11 23:05 | 阅读:87450 | 评论:0 | 标签:渗透编程 漏洞 认证 qq

【技术干货】 CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞

xxhzz@PortalLab实验室前言结合自身经历,在使用正则表达式去匹配流量特征时,由于正则表达式中元字符“.”不匹配换行符(n、r)导致一直提取不上所需的流量。而如今,之前踩过的坑却出现在了Apache Shiro框架之中......漏洞描述6月29日,Apache 官方披露 Apache Shiro 权限绕过漏洞(CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。
发布时间:2022-07-09 01:28 | 阅读:88622 | 评论:0 | 标签:exp 漏洞 CVE 认证

实力认证 | 梆梆安全入选2022年中国数字安全百强“中坚力量”

6月18日,国内数字化产业第三方调研与咨询机构数世咨询正式发布《2022年中国数字安全百强报告》(以下简称百强报告)。梆梆安全作为软件安全的领跑者,凭借强大的产品创新力、过硬的技术公信力与广泛的品牌影响力成功入选2022年综合实力百强“中坚力量”。百强报告调研了国内700余家经营网络安全业务的企业,基于2021年度的上百项评价指标结合多种角度、不同维度的企业相关数据进行梳理和评价。报告分为两大部分,一是综合实力较为突出的100家企业,通过品牌影响力和企业规模两大维度,以数轴点阵图的形式予以展现。二是专精特新100家企业的推荐。本次综合实力百强的入围门槛营收规模约为1.2亿元,较去年增长20%。
发布时间:2022-07-08 15:43 | 阅读:32711 | 评论:0 | 标签:安全 中国 认证

梆梆安全顺利通过软件能力成熟度模型集成CMMI L3认证

近日,CMMI认证评估小组对北京梆梆安全科技有限公司(以下简称“梆梆安全”)软件开发能力成熟度进行评估,经过为期5天严密的审核评估,梆梆安全凭借专业实力,顺利获得CMMI L3认证证书,进一步彰显了梆梆安全在软件安全领域的重要地位。CMMI:Capability Maturity Model Integration,即软件能力成熟度模型集成,代表着国际先进和科学的软件工程管理方法,是国际公认的衡量软件开发过程成熟度和规范性的评估标准。梆梆安全研发中心CMMI L3证书自认证启动以来,梆梆安全软件开发团队积极配合评估工作,在各环节表现优异,使得评估工作圆满完成。
发布时间:2022-07-08 15:43 | 阅读:19812 | 评论:0 | 标签:安全 认证

国家级认可 | 江南信安再获【信息安全服务资质】一级认证

近日,江南信安(北京)科技有限公司顺利通过中国信息安全测评中心监督审核,再次获得信息安全服务资质证书(安全工程类一级)。信息安全服务资质是对信息安全服务提供者的技术、资源、法律、管理等方面的资质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,对其安全服务保障能力进行认定评估,授予资质。该证的复审通过,标志着江南信安在信息安全服务领域再获国家权威认证和行业肯定,信息安全服务全面标准化、技术专业能力、行业竞争力再上新台阶。随着我国信息化和信息安全保障工作的不断深入推进,信息安全服务在信息安全保障中的作用日益突出。
发布时间:2022-07-07 18:39 | 阅读:21945 | 评论:0 | 标签:信息安全 江南信安 安全 信安 认证

漏洞预警|Apache Shiro身份认证绕过漏洞

开源漏洞深度分析近日网上有关于开源项目Apache Shiro身份认证绕过漏洞 ,棱镜七彩安全研究院对漏洞进行了POC验证。Cve编号:CVE-2022-32532项目介绍:Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。
发布时间:2022-07-06 14:50 | 阅读:75184 | 评论:0 | 标签:漏洞 认证 身份

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁

本页关键词 💎