相關(guān)文章

• Smartbi 身份認(rèn)證繞過(guò)漏洞

  因?yàn)樽约捍罱ǖ沫h(huán)境存在一些問(wèn)題，可能是版本過(guò)高的原因，(奇奇怪怪的問(wèn)題，用戶沒有權(quán)限)，所以目前僅僅做概念性驗(yàn)證，對(duì)漏洞的原理進(jìn)行分析。 在未登錄的情況下訪問(wèn)接口? /smartbi/vision/RMIServlet ? 我們可以比較明顯的看到對(duì)應(yīng)的處理類? CheckIsLoggedFilter ? smartbi.fre

  2024年02月16日

  瀏覽(22)
• 

  【嚴(yán)重】Grafana Azure AD環(huán)境身份認(rèn)證繞過(guò)漏洞

  ?Grafana 是一個(gè)跨平臺(tái)、開源的數(shù)據(jù)可視化網(wǎng)絡(luò)應(yīng)用平臺(tái)。Azure AD 是由微軟提供的一種云身份驗(yàn)證和訪問(wèn)管理服務(wù)。 在 Azure AD 中，多個(gè)用戶可以擁有相同的電子郵件地址。攻擊者可以創(chuàng)建一個(gè)與目標(biāo) Grafana 賬戶相同的電子郵件地址的惡意帳戶，并且在 Azure AD 中配置支持多租戶

  2024年02月17日

  瀏覽(24)

• Apache Superset 身份認(rèn)證繞過(guò)漏洞（CVE-2023-27524）

  Apache Superset是一個(gè)開源的數(shù)據(jù)可視化和數(shù)據(jù)探測(cè)平臺(tái)，它基于Python構(gòu)建，使用了一些類似于Django和Flask的Python web框架。提供了一個(gè)用戶友好的界面，可以輕松地創(chuàng)建和共享儀表板、查詢和可視化數(shù)據(jù)，也可以集成到其他應(yīng)用程序中。由于用戶在默認(rèn)安裝過(guò)程中，未對(duì)SECRET_KE

  2024年02月09日

  瀏覽(40)
• 

  CVE-2023-27524 Apache Superset 身份認(rèn)證繞過(guò)漏洞

  Apache Superset是一個(gè)開源的數(shù)據(jù)可視化和數(shù)據(jù)探測(cè)平臺(tái)，它基于Python構(gòu)建，使用了一些類似于Django和Flask的Python web框架。提供了一個(gè)用戶友好的界面，可以輕松地創(chuàng)建和共享儀表板、查詢和可視化數(shù)據(jù)，也可以集成到其他應(yīng)用程序中。由于用戶在默認(rèn)安裝過(guò)程中，未對(duì)SECRET_KE

  2024年02月10日

  瀏覽(25)
• 

  【漏洞復(fù)現(xiàn)-通達(dá)OA】通達(dá)OA share身份認(rèn)證繞過(guò)漏洞

  通達(dá)OA（Office Anywhere網(wǎng)絡(luò)智能辦公系統(tǒng)）是中國(guó)通達(dá)公司的一套協(xié)同辦公自動(dòng)化軟件。通達(dá)OA /share/handle.php存在一個(gè)認(rèn)證繞過(guò)漏洞，利用該漏洞可以實(shí)現(xiàn)任意用戶登錄。攻擊者可以通過(guò)構(gòu)造惡意攻擊代碼，成功登錄系統(tǒng)管理員賬戶，繼而在系統(tǒng)后臺(tái)上傳惡意文件控制網(wǎng)站服務(wù)器

  2024年02月19日

  瀏覽(70)

• Casbin開源社區(qū)推出開源身份認(rèn)證、單點(diǎn)登錄框架Casdoor

  Casbin開源社區(qū)推出開源身份認(rèn)證、單點(diǎn)登錄框架Casdoor！ 開源地址：https://github.com/casbin/casdoor 在線演示：https://door.casbin.com/ 技術(shù)文檔：https://casdoor.org/docs/overview 目前支持以下特性： 前后端分離架構(gòu)，Go語(yǔ)言開發(fā)，支持高并發(fā)，具有Web可視化管理界面，支持多語(yǔ)言（中文、英

  2023年04月08日

  瀏覽(32)

• 統(tǒng)一身份認(rèn)證，構(gòu)建數(shù)字時(shí)代的安全壁壘——統(tǒng)一身份認(rèn)證介紹、原理和實(shí)現(xiàn)方法

  隨著數(shù)字化時(shí)代的來(lái)臨，個(gè)人和機(jī)構(gòu)在互聯(lián)網(wǎng)上的活動(dòng)越來(lái)越頻繁，對(duì)于身份認(rèn)證的需求也愈發(fā)迫切。為了有效應(yīng)對(duì)身份欺詐、數(shù)據(jù)泄露等問(wèn)題，統(tǒng)一身份認(rèn)證（Unified Identity Authentication）應(yīng)運(yùn)而生。 在本文博主將介紹統(tǒng)一身份認(rèn)證的概念、原理以及其具體的實(shí)現(xiàn)方案。 統(tǒng)一

  2024年02月03日

  瀏覽(28)
• 

  Kafka安全模式之身份認(rèn)證

  Kafka作為一個(gè)分布式的發(fā)布-訂閱消息系統(tǒng)，在日常項(xiàng)目中被頻繁使用，通常情況下無(wú)論是生產(chǎn)者還是消費(fèi)者只要訂閱Topic后，即可進(jìn)行消息的發(fā)送和接收。而kafka在0.9.0.0版本后添加了身份認(rèn)證和權(quán)限控制兩種安全服務(wù)，本文主要介紹在實(shí)際項(xiàng)目使用過(guò)程中遇到第三方kafka需身份

  2024年04月13日

  瀏覽(29)
• 

  啟用skywalking身份安全認(rèn)證

  目錄 1.? Nginx部署 1.1更新系統(tǒng)軟件包 1.2安裝EPEL存儲(chǔ)庫(kù) 1.3安裝Nginx 2.? 修改 Nginx 配置文件 2.1.???? 字段解釋 3. 創(chuàng)建存儲(chǔ)用戶名和密碼的文件 3.1 安裝htpasswd工具 3.2 驗(yàn)證 4.? 驗(yàn)證代理及身份認(rèn)證 4. 常見報(bào)錯(cuò)及解決方法 4.1.???? 檢查監(jiān)聽 4.2. 檢查配置文件字段地址 4.3. 檢查防

  2024年02月09日

  瀏覽(21)

• 指紋統(tǒng)一身份認(rèn)證系統(tǒng)系統(tǒng)安全設(shè)計(jì)

  2.10.1 身份認(rèn)證 系統(tǒng)是為廣大工作人員提供服務(wù)的，為了區(qū)分各個(gè)用戶以及不同級(jí)別的用戶，需要對(duì)他們的 身份和操作的合法性進(jìn)行檢查。體系應(yīng)該規(guī)定實(shí)現(xiàn)身份認(rèn)證與權(quán)限檢查的方式、方法以及對(duì) 這些用戶的管理要求。 2.10.2 權(quán)限管理 權(quán)限管理系統(tǒng)是保證業(yè)務(wù)系統(tǒng)安全的一

  2024年02月10日

  瀏覽(59)