挖洞经验|SAML漏洞的发现与利用
前言在近期的一次Web应用测试过程中,我在该应用的SAML(安全声明标记语言)实现中发现了一个安全漏洞。该应用在实现其SAML功能时,采用了不安全的实践方法,再加上其本身的自定义认证机制也存在安全问题,因此导致了该漏洞的存在。在这篇文章中,我们将跟大家演示如何利用该这些不安全的配置并结合有效的钓鱼攻击,来帮助攻击者远程访问那些可能包含敏感信息的安全页面。应用程序概述我们所测试的这个Web应用程序的客户端允许用户创建简单的Web页面以及Web表格。客户不仅可以使用这款应用程序来收集终端用户的信息,而且还可以作为托管人力资源档案以及其他潜在敏感材料的门户站点。与此同时,用户可以通过各种方式来...
微软为Chrome和Firefox 发布了Windows Defender扩展
在 Windows 10 Insider Preview Build 18358 的发布公告,微软表明其已经开发并开始测试了一种针对 Chrome 和 Firefox 的 Windows Defender Application Guard 扩展。微软为了将其容器技术扩展到其它浏览器,并为用户提供全面的解决方案以隔离潜在的基于浏览器的攻击,为 Google Chrome 和 Mozilla Firefox 设计并开发了该扩展。Windows Defender Application Guard 会自动将不受信任的网页重定向到适用于 Microsoft Edge 的 Windows Def...
GNU Parallel 20190322发布 - 希望帮助加速单线程Linux命令
GNU Parallel是在一台或多台计算机上并行执行多个命令/作业的工具。今天发布的是GNU Parallel 20190322版本,与上个月的更新相比有一些变化。GNU Parallel 20190322的主要变化是使用SIGHUP而不是SIGTERM来允许运行作业完成,并且他们还改变了他们的“SIGTERM SIGTERM”行为以杀死正在运行的作业。此外,他们还添加了一些“备忘单”文档,以帮助新用户理解此实用程序。发布说明还指出,这个版本的新功能是能够使用多个CPU内核运行单线程Linux命令。不过,当查看Git日志时,在这个版本中似乎没有任何新的内容。仍然可以将各种常见的(单线...
Win10不再独占 微软推出Mac版Defender软件
此前微软曾发布了全新的浏览器插件,将原本Edge独享的浏览器保护技术“Windows Defender Application Guard”移植到了Chrome与Firefox上。从这一个动作上就可以看出微软不再将Windows Defender当做一个Windows 10“独占软件”来对待,它正在将这款杀毒软件带到更多的平台上。3月21日,在发布Windows Defender浏览器插件几天后,微软就将Windows Defender推广到了Mac平台上,并且将其改名为Microsoft Defender。从现在开始,企业就可以在运行macOS Mojave,macOS High Si...