跨站点请求伪造(英语:Cross-site request forgery)是一种恶意利用,利用这种手段,代表经过身份验证的用户执行未经授权的命令。值得庆幸的是,Laravel 可以轻松保护您的应用程序免受跨站点请求伪造(CSRF)攻击。
近日,代码托管平台 GitHub 于当地时间 8 月 13 日周五这天正式废除了基于密码的 Git 身份验证。从 09:00 PST (PST是北美太平洋标准时间,北京时间 14 日 0 点)开始,使用 GitHub 开发者将需要切换到基于令牌的身份验证去执行 Git 操作,基于令牌的认证包括个人接入、OAuth、SSH Key 活 GitHub App 安装令牌。
由于良好的可用性和安全性,单点登录 (SSO) 已被广泛用于在线身份验证。但是,它也引入了单点故障,因为所有服务提供商都完全信任由 SSO 身份提供商创建的用户的身份。在本文中调查了身份帐户不一致威胁,这是一种新的 SSO 漏洞,可导致在线帐户遭到入侵。该漏洞的存在是因为当前的 SSO 系统高度依赖用户的电子邮件地址来绑定具有真实身份的帐户,而忽略了电子邮件地址可能被其他用户重复使用的事实在 SSO 身份验证下,这种不一致允许控制重复使用的电子邮件地址的攻击者在不知道任何凭据(如密码)的情况下接管关联的在线帐户。具体来说,首先对多个云电子邮件提供商的帐户管理策略进行了测量研究,展示了获取以前使用过的电子邮件帐户的可行性。进一步对 100 个使用 Google 商业电子邮件服务和自己的域地址的流行网站进行了系统研究,并证明大多数在线帐户都可以通过利用这种不一致漏洞而受到损害。为了阐明电子邮件在野外重复使用,分析了导致广泛存在的潜在电子邮件地址冲突的常用命名约定,并对美国大学的帐户政策进行了案例研究。最后,为终端用户、服务提供商和身份提供商提出了一些有用的做法,以防止这种身份帐户不一致的威胁。
网络钓鱼是一种经常用来窃取用户数据的社交工程攻击,包括登录凭证和信用卡号码。它发生在攻击者伪装成可信实体时,让受害者打开电子邮件,即时消息或文本消息。然后,收件人被诱骗点击恶意链接,从而导致安装恶意软件,冻结系统以作为勒索软件攻击的一部分或泄露敏感信息。
谷歌近期刚刚发布完Android 12 beat 3,现在又宣布停止维护Android 2.3.7及更低版本的设备。
跨站点请求伪造(CSRF),也称为XSRF,Sea Surf或会话骑马,是一种攻击媒介,它会诱使Web浏览器在用户登录的应用程序中执行不需要的操作。
Microsoft Exchange 的自动发现协议实施中一个未修补的设计缺陷已导致全球大约 100,000 个 Windows 域的登录名和密码泄露。
作为一个金融Web应用的开发人员,我对安全问题一直尤为关注。在过去的两年里,我参与的一些Web应用在进入生产模式之前,都会经过全面严格的安全检查,以确保它们在完全投入使用后的安全性。
勒索软件(Ransomware)攻击、身份盗窃,以及在线信用卡欺诈,这些都可能是具有毁灭性的,然而它们只是众多类型的恶意软件与网络攻击中的冰山一角。如果你从来没有成为破坏活动的受害者,那算你走运,但不要因此自鸣得意。
应用层安全威胁是指针对应用程序、网络通信或数据传输过程中的安全漏洞和风险。这些威胁通常利用应用程序的弱点,例如未经身份验证的访问、代码注入、跨站脚本攻击(XSS)等。
在这篇文章中,我们将从攻击者的角度介绍如何使用Azure信息保护(Azure Information Protection,AIP)来改进网络钓鱼技术。这个想法是在一次测试工作过程中产生的,当时我正在为无法将钓鱼邮件投递到用户的收件箱中而绞尽脑汁,因为它在途中就被沙箱拦截了。后来,我突然想到可以借助AIP(Rights Management Service,权限管理服务)来保护附件,甚至电子邮件,使得它们只能被指定的收件人打开。这样一来,即使沙箱截获了相关的文件也没有关系,因为它根本无法读取其中的内容。
这是我在 NFT 市场中发现的一个令人兴奋的安全问题,它允许我通过链接 IDOR 和 XSS 来接管任何人的帐户,以实现完整的帐户接管漏洞。
你有一个新软件产品的想法,你已经完成了你的研究,创建了一个受众并承诺每个人都会解决这个问题。在下文中,我将为您提供一个经过验证的清单和构建 SaaS 的最佳实践。 如今,我们有无数的工具来构建软件。从编程语言、框架和云平台到 nocode 应用程序构建器。此外,市场上充斥着各种提高用户期望的 SaaS 产品。 定义核心 因为竞争如此激烈,你不能不断地重新发明轮子。相反,您的主要目标应该是尽快掌握核心功能。 但核心功能究竟是什么?假设您想创建一个新的送餐应用程序。除非您创建一种新的独特的用户身份验证方式
将身份验证委托给外部标识提供者。 这可以简化开发、最小化对用户管理的要求,并改善应用程序的用户体验。
Roundcube是一个Webmail客户端,具有强大的安全功能和来自其插件存储库的广泛自定义选项。本文介绍如何进一步保护基本的现有Roundcube安装。
常业务开发中,除了核心产品相关的工作之外,很大一部分工作量便是 Admin 管理后台的开发。因为在企业内无论哪种岗位都离不开与数据打交道,而数据库中的数据往往是不直观的,Excel 操作可能又过于简陋且容易出错,所以企业内会有形形色色的 Admin 管理后台服务各种业务场景。那么对于企业来说,一款能够快速上手并开发 Admin 管理后台的工具就显得尤为重要了。这篇文章中,码匠将向您介绍 8 款基于 React 的 Admin 后台模版,并针对不同使用场景提出建议。
我一直致力于安全编码实践,并试图尽可能多地学习基本要点。在过去的几年里,我已经意识到一个小小的漏洞在普通人的生活中可能造成的伤害。像WannaCry和Petya勒索软件这样的网络攻击在几个遭受其原因的人心目中是相当新鲜的。
早在上世纪90年代中后期,互联网开始成为了PSTN线路繁忙的主要因素之一。在接下来的十年里,互联网在线服务完全改变了社会与科技的互动。从电子邮件到电子商务,这些服务越来越多地将人们和互联网联系在一起。
谷歌表示,周一影响大多数面向消费者系列的全球认证系统中断是由于自动配额管理系统中的一个 bug 影响了谷歌用户 ID 服务。
PKI(Public Key Infrastructure,公钥基础设施)是一种密码学框架,用于安全地管理数字证书、公钥和私钥,以确保通信和数据的机密性、完整性和身份验证。PKI建立在公钥密码学的基础上,通过数字证书颁发机构(CA)和相关组件来实现安全通信和身份验证。以下是对PKI体系的详细介绍:
PrivacyBot是一项简单的自动化服务,用于与databrokers一起发起CCPA删除请求。
昨天,翘首期待的iPhone12终于面世,不管是回归经典方框设计,还是首次推出小屏mini版,都让苹果玩家大呼过瘾。
Instagram最近遭受了严重的数据泄露,许多高知名度用户的电话号码和电子邮件被黑客非法获取,泄露的原因是其API存在漏洞,Instagram声明称Bug已修复,账号密码未泄露。 Instagram
本教程中,我们将一同了解如何使用 Clerk 向全栈应用程序添加身份验证机制。 我们跟 Clerk 没有任何合作关系,但对这款工具的表现非常认可。很多朋友正好咨询怎么在 Next.js 下实现身份验证,这篇文章专为解决问题而来。
Laravel Jetstream 与 Laravel 8 一起于2020年9月8日发布。
本文最初是由Chris Lowe编写的,后来经过Ryan Ackermann(ios系统开发者)的修改,已经可以针对最新的Xcode 9.2,Swift 4,iOS 11和iPhone X了。
之前写了一篇Laravel提高DB查询效率的文章,转发到群里后竟然有人质疑我说“Laravel是他好几年前用的框架,没想到现在还有人在用。”
本指南是Postfix,Dovecot和MySQL安装指南的配套文件。由于设置邮件服务器非常棘手,因此我们创建了这套指南来帮助您解决可能遇到的任何问题。到本指南的末尾时,您将了解如何调试Postfix,Dovecot和MySQL邮件服务器的问题。
我喜欢在 Linux 终端上读写电子邮件的便捷,因此我是 Mutt 这个轻量简洁的电子邮件客户端的忠实用户。对于电子邮件服务来说,不同的系统配置和网络接入并不会造成什么影响。这个客户端通常隐藏在我 Linux 终端的 某个标签页或者某个终端复用器的面板 上,需要用的时候随时可以调出来,不需要使用的时候放到后台,就不需要在桌面上一直放置一个电子邮件客户端的应用程序。
近日,美国联邦政府发布了一份报告,称用户需密切注意ChatGPT存在的网络安全风险,尤其是在网络钓鱼和恶意软件开发领域。
Spring Boot大大简化了Spring应用程序的开发。它的自动配置和启动依赖大大减少了开始一个应用所需的代码和配置量,如果你已经习惯了Spring和大量XML配置,Spring Boot无疑是一股清新的空气。
Microsoft Exchange 服务器是威胁参与者的常见目标,不仅因为它们提供了多个入口点,而且因为它们在绑定到 Active Directory 时提供了持久性和域升级的机会。通过 Exchange 连接破坏组织的域可能成为一项微不足道的任务,尤其是在缺少许多安全控制的情况下。
SPF(发件人策略框架)是一种向邮件服务器标识允许哪些主机为给定域发送电子邮件的系统。设置SPF有助于防止您的电子邮件被归类为垃圾邮件。
你能想象有一天访问各种应用时,无需再输入复杂密码就能实现各个平台的登录和切换吗?对于经常忘记密码的用户来说,无密码验证可以说是十分省心了。
在此文章中,我们将学习如何使用 JWT 身份验证在 Laravel 中构建 restful API 。JWT 代表 JSON Web Tokens 。我们还将使用 API 为用户产品创建功能齐全的 CRUD 应用。
去年,微软成功拦截了数百亿次针对Office 365和Azure Active Directory (Azure AD) 客户的暴力破解和网络钓鱼攻击。
从 2023 年 3 月开始到 2023 年底,GitHub 将逐渐开始要求在 GitHub.com 上贡献代码的所有用户启用一种或多种形式的双因素身份验证 (2FA)。 如果你在符合条件的组中,当选择该组进行注册时,将收到一封通知电子邮件,该电子邮件标志着 45 天的 2FA 注册期的开始,并且你会看到要求你在 GitHub.com 上注册 2FA 的横幅。 如果未收到通知,则表示你不是需要启用 2FA 的组的成员,但我们强烈建议启用 2FA。
X.509是公钥基础设施(PKI)的标准格式。X.509证书就是基于国际电信联盟(ITU)制定的X.509标准的数字证书。X.509证书主要用于识别互联网通信和计算机网络中的身份,保护数据传输安全。X.509证书无处不在,比如我们每天使用的网站、移动应用程序、电子文档以及连接的设备等都有它的身影。
之前我们介绍了利用商业产品解决方案解决邮箱安全问题,鉴于SMTP传统邮件的安全性不足,我们将为大家介绍利用SPF,DKIM,rDNS, DMARC等邮件协议认证的手段解决邮箱安全问题。本期分别为大家做一些简单的介绍。 1rDNS rDNS是什么? rDNS(Reverse DNS)指得是反向解析,就是把IP解析成域名。反向解析在邮件服务器应用中相当于对你的邮件服务器进行身份验证,这样的策略可以很好的减少垃圾邮件。 为什么需要做rDNS? 因为有些应用程序需要反向来认证对方,如SMTP,也就是为什么国外很多S
单点登录 (SSO) 是一种用户身份验证工具,使用户能够使用一组凭据安全地访问多个应用程序和服务。无论您的工作日依赖于 Slack、Asana、Google Workspace 还是 Zoom,SSO 都会为您提供一个弹出式小部件或登录页面,只需一个密码即可让您访问每个集成的应用程序。SSO 不是一天十二个密码,而是安全地确保您只需要一个。 单点登录结束了记住和输入多个密码的日子,它消除了必须重置忘记密码的挫败感。用户还可以访问一系列平台和应用程序,而无需每次都登录。
Spring Boot极大地简化了Spring应用程序的开发。它的自动配置和启动器依赖关系减少了启动应用程序所需的代码和配置量。
1、写一个python程序,读取一个文件夹及其子文件夹的文件目录、结构、文件名称,遇到py文件,读取py文件代码,以上内容保存到txt文件中
Spring Boot大大简化了Spring应用程序的开发。它的自动配置和启动依赖大大减少了开始一个应用所需的代码和配置量,如果你已经习惯了Spring和大量XML配置,Spring Boot无疑是一股清新的空气。 Spring Boot于2014年首次发布,自那以后发生了很多变化。安全性问题与代码质量和测试非常相似,已经日渐成为开发人员关心的问题,如果你是开发人员并且不关心安全性,那么也许认为一切理所当然。本文目的是介绍如何创建更安全的Spring Boot应用程序。 马特雷布尔与Simon Map
在开发应用程序时,通常只有一台资源服务器为多个客户端应用程序提供数据。尽管这些应用程序可能具有相似的用户,但它们可能具有执行所需的不同权限。设想一种情况,其中第一个应用程序的一部分用户应有权访问第二个应用程序(以管理控制台应用程序与客户端或用户应用程序相对应);您将如何执行此操作?在本文中,我将向您展示如何使用Okta和Spring Boot通过两个客户端应用程序和一个资源服务器来实现单点登录。我还将讨论如何使用访问策略来强制执行身份验证和授权策略,以及如何基于应用程序范围来限制对资源服务器的访问。在进入代码之前,您需要适当的用户身份验证配置。今天,您将使用Okta作为OAuth 2.0和OpenID Connect(OIDC)提供程序。这将使您能够管理用户和组,并轻松启用诸如社交和多因素日志身份验证之类的选项。首先,您需要先注册并创建一个免费的Okta开发人员帐户(如果尚未注册)。您会收到一封电子邮件,其中包含有关如何完成帐户设置的说明。完成此操作后,导航回到您的Okta帐户以设置Web应用程序,用户,资源服务器和授权服务器。首次登录时,可能需要单击黄色的管理按钮才能访问开发人员的控制台。创建两个OpenID Connect应用程序第一步是创建两个OIDC应用程序。OpenID Connect是建立在OAuth 2.0之上的身份验证协议,它是一种授权协议。每个OIDC应用程序都为每个Web应用程序实例定义一个身份验证提供程序终结点。在Okta开发人员控制台中,导航到应用程序,然后单击添加应用程序。选择Web,然后单击Next。使用以下值填充字段:
SquarePhish是一款高级网络钓鱼测试工具,该工具整合了OAuth设备码身份验证流和二维码技术实现其功能。
传统上,企业应用程序在公司网络中部署和运行。为了获取有关用户的信息,如用户配置文件和组信息,这些应用程序中的许多都是为与公司目录(如Microsoft Active Directory)集成而构建的。更重要的是,通常使用目录存储和验证用户的凭据。例如,如果您使用在本地运行的SharePoint和Exchange,则您的登录凭据就是您的Active Directory凭据。
领取专属 10元无门槛券
手把手带您无忧上云