8.1. SSO 8.1.1. 简介 8.1.1.1. 常见流程 8.1.2. 可能的攻击/漏洞 8.1.2.1. 信息泄漏 8.1.2.2. 伪造 8.1. SSO 8.1.1. 简介 单点登录(SingleSignOn，SSO)指一个用户可以通过单一的ID和凭证（密码）访问多个相关但彼此独立的系统。 8.1.1.1. 常见流程...

如何避免扮演失败者 在黑客社区的论坛中有那么几次你可能会搞砸 —— 以本指南所描述到的或类似的方式。而你会在公开场合中被告知你是如何搞砸的，也许攻击的言语中还会带点夹七夹八的颜色。 这种事发生以后，你能做的最糟糕的事莫过于哀嚎你的遭遇、宣称被口头攻击、要求道歉、高声尖叫、憋闷气、威胁诉诸法律、向其雇主报怨、忘了关马桶盖等等。相反地，你该这么做： 熬过...

CSP(内容安全策略) 启用 CSP CSP(内容安全策略) CSP(Content Security Policy) 即内容安全策略，主要目标是减少、并有效报告 XSS 攻击，其实质就是让开发者定制一份白名单，告诉浏览器允许加载、执行的外部资源。即使攻击者能够发现可从中注入脚本的漏洞，由于脚本不在白名单之列，浏览器也不会执行该脚本，从而达到了降低...

Django 2.1.9 版本发行说明 CVE-2019-12308 ： AdminURLFieldWidget 跨站脚本攻击（XSS） 修复了捆绑的 jQuery 库中的 CVE-2019-11358 问题：原型污染 Django 2.1.9 版本发行说明 2019 年 6 月 3 日 Django 2.1.9 修复了 2.1.8 版本中的安全...

1 登陆和配置用户 简介 登陆 暴力破解攻击的保护机制 增加用户 添加权限 1 登陆和配置用户 简介 本章你会学习如何登陆Zabbix，以及在Zabbix内建立一个系统用户。 登陆 这是Zabbix的“欢迎”界面。输入用户名 Admin 以及密码 zabbix 以作为 Zabbix超级用户 登陆。 登陆后，你将会在页面...

本章总结 本章总结 对于红队来说，窍门和技巧是我们入侵艺术的一部分。我们必须不断研究攻击用户、攻陷系统和逃避检测的更好方法。这可没有捷径，需要数小时到数年的练习、汗水和眼泪。

应用的 WAF 白名单 应用的 WAF 白名单 在应用的 WAF 规则 中，介绍了如何设置 WAF 的拦截规则。 我们下面介绍下如何在 Edge Admin 的应用中开启 WAF 的白名单规则。 首先点击进入WAF 白名单页面： 我们先点击创建 WAF 白名单 按钮，进入规则页面。 规则由跳过 WAF 规则 和启用条件 两部分组成。 WA...

验证来自客户端的输入 详细描述 建议 References CWE/OWASP 验证来自客户端的输入 详细描述 即使数据是从您的应用程序生成的，这些数据也可能被拦截和操纵。 这可能包括导致应用程序崩溃（生成关键崩溃日志），缓冲区溢出，SQL注入和其他攻击的攻击。 通过实现UITextFieldDelegate中的方法并利用上面的建议，这可...

其他配置选项 Java 版本 常用配置选项 hooks.ignore 全部可选值 PHP 版本 常用配置选项 openrasp.hooks_ignore 全部可选值 其他配置选项 Java 版本 通过修改 rasp.properties 进行配置，除了 hooks.ignore 外，其他选项修改后都立即生效。 常用配置选项 ...

Kubernetes API 服务器旁路风险 静态 Pod 缓解措施 kubelet API 缓解措施 etcd API 缓解措施 容器运行时套接字 缓解措施 Kubernetes API 服务器旁路风险 与 API 服务器及其他组件相关的安全架构信息 Kubernetes API 服务器是外部（用户和服务）与集群交互的主要入口。 ...