网站首页 博客文章 第917页
-
“Sign in with Apple”曾有高危漏洞,黑客可远程劫持用户账号
去年Apple在苹果全球开发者大会上发布了"SigninwithApple"这个可以保护隐私的登录机制,这个机制允许用户使用第三方应用程序注册帐号,且无需透露他们的真实电邮地址。不过这个机制之前是有漏洞的,因为Apple最近向印度的漏...
2024-10-11 baijin 博客文章 25 ℃ 0 评论 -
开源CasaOS云软件发现关键漏洞(开源云是什么意思)
近日,开源CasaOS个人云软件中发现的两个严重的安全漏洞。该漏洞一旦被攻击者成功利用,就可实现任意代码执行并接管易受攻击的系统。这两个漏洞被追踪为CVE-2023-37265和CVE-2023-37266,CVSS评分均为9.8分。发...
2024-10-11 baijin 博客文章 33 ℃ 0 评论 -
漏洞深度分析|Apache iotdb-web-workbench 认证绕过漏洞分析
项目介绍IoTDB-Workbench是IoTDB的可视化管理工具,可对IoTDB的数据进行增删改查、权限控制等。项目地址https://github.com/apache/iotdb-web-workbench漏洞概述Apacheiot...
2024-10-11 baijin 博客文章 22 ℃ 0 评论 -
入侵JSON Web令牌(JWT)(入侵代码即将生效)
攻击者如何伪造令牌并以其他人身份登录JSONWeb令牌是一种在商业应用程序中广泛使用的访问令牌。它们基于JSON格式,并包含令牌签名以确保令牌的完整性。今天,我们将讨论使用JSONWeb令牌(通常是基于签名的令牌)的安全隐患,以及攻击者...
2024-10-11 baijin 博客文章 20 ℃ 0 评论 -
一文理解JWT鉴权登录的安全加固(jwt鉴权流程)
有关JWT的基础知识,可以查看之前的博客:快速了解会话管理三剑客cookie、session和JWT在之前的博客《一文理解JWT在鉴权登录的应用》介绍了JWT在鉴权登录中的使用。但是不恰当地使用JWT可能会对应用程序安全产生负面影响。...
2024-10-11 baijin 博客文章 24 ℃ 0 评论 -
苹果(Sign in with Apple)漏洞未经授权访问链接服务
"Apple登录(SigninwithApple)"是苹果公司在去年WWDC推出的一项登录服务,用户不需要再繁琐地填入账号和密码,而只需要点击这个选项,系统便可以自动识别并认证你的个人身份,并通过匿名邮件服务为你注册账号。具体的是通过...
2024-10-11 baijin 博客文章 25 ℃ 0 评论 -
JWT认证中如何防止他人冒充token(防止token伪造)
这个和JWT没有什么关系,「JWT(JsonWebToken)」是token的其中一种实现方式,是用来双方信任的情况下作为身份令牌的。它只能保证信息没有被篡改,无法保证信息是否被伪造、盗用。...
2024-10-11 baijin 博客文章 23 ℃ 0 评论 -
Sign in with Apple 被曝零日漏洞,可远程劫持任意用户帐号
5月30日,印度漏洞安全研究专家BhavukJain在官方博客中披露:SigninwithApple(通过Apple登录)中存在一个零日漏洞,影响非常严重,因为它允许攻击者远程劫持任意用户账户。BhavukJain...
2024-10-11 baijin 博客文章 22 ℃ 0 评论 -
「密钥泄漏」CVE-2022-29266 Apache Apisix jwt插件
漏洞描述在2.13.1版本之前的APacheAPISIX中,攻击者可以通过向受jwt-auth插件保护的路由发送不正确的JSONWeb令牌来通过错误消息响应获取插件配置的机密。依赖库lua-resty-jwt中的错误逻辑允许...
2024-10-11 baijin 博客文章 21 ℃ 0 评论 -
iOS再现新漏洞,苹果花100000美元“修复”
一直以来,iOS系统存在着各种各样的漏洞。为了鼓励们用户发现并报告漏洞,苹果公司在去年12月20日起就正式向所有iOS安全研究员开放了iOS漏洞赏金计划。任何在iOS,macOS,tvOS,watchOS或iCloud中发现错误的安全研究人...
2024-10-11 baijin 博客文章 21 ℃ 0 评论
- 控制面板
- 网站分类
- 最新留言
-