搜索技巧
海洋云增白
开源地图
AI 搜索答案
沙丘魔堡2
压缩机站
自由职业
policy
小团队
颈挂空调
Chumby
个人电脑
极端主义
团队
PostgreSQL
AI工具
证券
DirectX
DrawingPics
化学
KDE
披萨农场
多动症
植物学
分析化学
Three.js
大会
残疾人学校
初创
QB64
更多
Keycloak身份认证系统分析 (security.humanativaspa.it)
HN Security团队在对客户的Keycloak身份认证系统进行评估时,发现了三个主要安全漏洞:1. 双因素身份验证(OTP)绕过漏洞:攻击者可利用默认应用绕过OTP验证,只需用户名和密码即可登录。该漏洞已于2023年7月被发现,但修复耗时10个月。2. 认证和授权机制存在多个安全问题:/metrics和/health端点无需身份验证即可访问,低权限用户可访问管理功能,testLDAPConnection功能可被利用窃取LDAP凭证。3. 抗暴力破解机制中存在多个竞争条件漏洞:攻击者可以发送多个并发请求绕过登录尝试限制,且账户锁定后活动会话不会失效。作者强调开源安全项目应重视漏洞修复的及时性和与用户的沟通透明度。
