本文深入分析了针对Active Directory的NTLM中继攻击技术,揭示了LDAP服务默认不强制数据包签名的安全漏洞,通过Intercepter-NG工具可实现域管理员权限获取,适用于Windows Server 2003/2008R2/2012环境。
本文宣布2022年十大Web黑客技术提名活动正式开始,旨在评选最具创新性和可复用性的Web安全研究技术,涵盖JNDI注入、XXE利用、缓存投毒等多种攻击手法。
本文介绍了Chainguard公司如何通过最小化、加固且每日更新的容器镜像解决软件供应链漏洞问题,涵盖其技术方案、客户增长及新兴竞争格局,为DevSecOps团队提供安全容器管理的最佳实践。
文章详细分析了Qilin组织如何利用Fortinet设备的未修复漏洞(如CVE-2024-21762和CVE-2024-55591)进行身份验证绕过和远程代码执行,同时介绍了新兴勒索软件团伙的模块化工具和破坏性战术,以及全球勒索攻击的行业和地理分布。
本文详细介绍了如何利用CodeQL进行变体分析,通过构建自定义查询包和污点跟踪技术,系统性地发现代码库中未处理的错误返回码,提升代码安全性。
本文对比PTaaS与漏洞赏金项目的差异,详解Synack平台如何通过五步审核机制、VPN连接和漏洞运营团队协作,为安全运营中心提供结构化、低噪音的渗透测试服务,提升安全防护效率。
本文详细分析了在OpenSSL内存分配失败时触发的Use After Free漏洞,包括漏洞复现步骤、调用栈分析和修复方案,涉及curl与OpenSSL的交互过程。
本文深入探讨多租户系统中允许列表和拒绝列表的应用场景,涵盖身份管理、API网关等关键技术领域,并提供存储策略和动态策略替代方案,帮助构建可扩展的访问控制体系。
本文探讨了量子密钥分发网络中的认证机制,分析了传统预共享密钥方法的局限性,并提出了基于后量子密码学的公钥基础设施解决方案,以实现可扩展且安全的量子网络通信。
本文详细分析了Linux内核自5.8版本起KRETPROBES机制的失效问题及OPTIMIZER的优化不足,探讨了FTRACE与KPROBES的交互机制,并介绍了LKRG在运行时完整性检查中遇到的挑战及修复方案。