我是否可以使用AAD保护REST API (例如在springboot中)，并作为用户从该AAD访问它 - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于Apache Parquet™的更细粒度的加密方法

最通用的方法是表级别，指定某人是否有权访问整个表。但是，实际上，根据您的数据分类规范，表中可能只有少数列需要进行访问限制；其余的都可以供所有人使用。...然而，在现实中，用户可能会得到一个掩码值（即 null）作为列值，因为她不关心敏感列。同时，大多数查询使用通配符（“SELECT * ..”）作为投影运行。...但是，AAD 需要与文件本身分开存储，例如在 KV 存储中，而 AAD 元数据/索引保存在 Parquet™ 文件本身中。...元数据标记实体添加字段隐私属性，用于指示该字段是否将被加密，以及如果加密将使用什么密钥。元数据被放在一个元存储中。...元数据中的标记流程控制更细粒度的加密如下：数据集在字段级别被标记以指示该字段是否将被加密，以及如果加密将使用哪个密钥。标记信息存储在摄取元存储中。

2.5K3 0

用ASP.NET Core 2.1 建立规范的 REST API -- 保护API和其它

标准的认证流程开始于一个访问服务器被保护资源的匿名请求, HTTP服务器随后处理了该请求并决定拒绝让它访问被保护的资源, 因为该请求没有凭据; 随后HTTP Server发送了一个WWW-Authenticate...它使用Bearer Tokens (承载令牌) 来访问由OAuth 2.0协议保护的资源....但是它主要用于包含页面的web应用, 例如MVC或Razor Page, 并不适用于REST/Web API, 所以不介绍它了....应该尽早的调用该方法, 以便在它后边注册的节点都可以被跨域访问. 这是第一种方法, 使用的是lambda表达式. 注意URL地址结尾不要有/, 它会引起错误....针对这点我们采取的节流策略是控制允许访问API的请求的频率/速率，它可以决定特定的请求是否被允许。例如客户端只允许每小时有100个请求到达API，也可以按天计算，还可以带着IP地址一起限制。

1.7K2 0

您找到你想要的搜索结果了吗？

是的

没有找到

“最小权限访问”依然是安全最前线

最小权限原则能保护所有类型的用户访问，尤其是管理员权限访问。有些系统角色定义良好，对与这些角色相关联的权限也有着细粒度的划分，在这些系统上实现POLP就比较容易。...从管理员权限的角度看，很多公司图省事直接给所有可能需要该权限的用户都分发了管理员(或者说“超级用户”)凭证，让太多的员工掌握了对数据及系统的过多权限，根本就是完全背离了POLP。...还有其他系统会留有未经审查的管理员权限访问。比如说，大多数公司企业都会设置微软活动目录(AD)和Azure活动目录(AAD)作为终端用户的主要访问入口。...前路艰险，为了尽可能展开PAM项目，帮助企业从POLP中收获最多益处，可以参考下列建议：控制好你能控制的：在Unix/Linux系统中寻找机会增强原生sudo，清除最小权限实现过程中的漏洞并提升操作效率...同样地，寻求第三方辅助，去除默认非此即彼的管理员权限设置，是当下AD/AAD应用POLP的良好方式。使用特权口令管理器：如果最小权限无法实现，可以尝试用特权口令管理器来共享管理员口令。

1.3K2 0

谈谈域渗透中常见的可滥用权限及其应用场景(一）

前言在谈论这篇文章的主要内容之前，我想先讲讲Bloodhound这个工具，BloodHound 是一个强大的内网域渗透提权分析工具，它把域中各种抽象的概念和结构放在了一个能运行且直观，并易于使用的图形化功能中...它使用图形理论来自动化的在 Active Directory 环境中搞清楚大部分人员的关系和细节。...实际应用场景：通过在BloodHound中搜索“svc-alfresco”用户，我发现实际上该用户属于 Account Operators 组，该组是AD中的特权组之一，该组的成员可以创建和管理该域中的用户和组并为其设置权限...为了利用这一点，我们将新创建的用户帐户添加到该Exchange Windows Permission组中。...backup add volume c: alias mydrive create expose %mydrive% w: end backup } （向右滑动、查看更多）然后执行diskshadow 并使用脚本文件作为其输入

1.6K2 0

每周云安全资讯-2023年第27周

1 由于非正统的 MSSQL 设计选择，AWS WAF 客户端容易受到 SQL 注入攻击由于微软SQL（MSSQL）服务器使用了一种非传统的设计选择，进而导致了Web应用程序防火墙存在（WAF）安全保护被绕过风险...在Gossip模式下运行，可以通过节点服务账户凭证来检索状态存储桶中的敏感信息，并升级到集群管理员权限。...它允许大量的特权操作，包括mount文件系统，交换空间，还有对各种设备的操作以及系统调试相关的调用。...该漏洞被分配为 CVE-2022-31696 并作为通报VMSA-2022-003的一部分进行披露。...AccessKeyId作为关键特征，借助 Github API 强大的代码搜索能力，通过定时任务检测关键特征，以发现可能的AK/SK泄露事件。

4375 0

Flowable实战-Camel使用「建议收藏」

希望在阅读此博客后，您将能够设置Flowable Task应用程序，以允许用户运行可以通过Camel路由与其他应用程序集成Flowable。此博客使用Flowable Camel模块中的示例。...然后使用域特定语言（DSL）来创建将传输和EIP连接在一起的路由。将文件从/ tmp目录加载到内存中，然后将其内容传递到JMS队列。该实例如下所示。...5、验证您是否可以访问http：// localhost：8080 / flowable-task上的任务应用程序。...在我们的示例中，我们使用了Receive Task，但您也可以使用设置了triggerable标志的Service Task作为返回路由，基本上将触发器发送到流程/任务实例。...如您所见，通过设置一个变量（在我们的例子中称为“input”）将变量传入流程实例。然后将每个过程变量传递给camel路由，并可以在路由中访问（例如显示如何在路由中使用“input”变量）。

3.8K2 0

即拉即用：你不知道的持续集成的3个Git Hooks详解

Git Hooks在持续集成的语境中十分神奇，所以在本文中，我将深入介绍三个用例，并教你学会将现成可用的Hooks运用到你的工作流程中。...它们实际扮演一个保镖的角色，从后台保护代码库, 防止你和项目成员提交错误的代码。...你可以把它抓下来，定制它，并将其添加到你的代码库中。 3.保护你来之不易的代码覆盖率我看到很多开发团队都在努力维护代码覆盖率。很多情况下，他们不得不通过测试来追溯他们的源代码库。...大多数持续集成服务器不会通过它们的远程API显示代码覆盖数据，但Git Hook脚本可以获取代码覆盖报告。要做到这一点，构建必须设置为将代码覆盖报告在master和工作分支上作为共享件发布。...该脚本从本地副本获取分支的头版本号，然后查询持续集成服务器，查看是否已经创建了该版本，并检查创建是否成功。

1.6K4 0

关于 SecureWorks 最近的 Azure Active Directory 密码暴力破解漏洞的 POC

\spray-results.txt -Append } 请注意，如果您想在 Linux 中使用此方法，则需要您将生成的文件从 UTF-16 转换为 UTF-8： iconv -f UTF16 -t UTF...\brute-results.txt -Append } 找到有效的用户名/密码对后该怎么做如果您发现一个或多个有效的用户名/密码对，您可以修改此代码以获取返回的 DesktopSSOToken。...然后可以使用此方法将 DesktopSSOToken 交换为 OAuth2 访问令牌。然后，OAuth2 访问令牌可以与各种 Azure、M365 和 O365 API 端点一起使用。...重要的提示如果您从同一 IP 地址过快地访问 API 端点，Microsoft 的智能锁定功能将开始错误地声称帐户已锁定。...为了解决这个问题，我强烈建议使用ustayready 的 fireprox来避免这个问题。

1.3K2 0

TeamFiltration：一款针对O365 AAD账号安全的测试框架

关于TeamFiltration TeamFiltration是一款针对O365 AAD账号安全的跨平台安全测试框架，在该工具的帮助下，广大研究人员可以轻松对O365 AAD账号进行枚举、喷射、过滤和后门植入等操作...该数据库使用LiteDB构建，可以使用其开源LiteDB Studio Windows工具在磁盘上手动浏览。...这个数据库中保存的信息包括有效的用户帐户、以前尝试的用户名和密码组合、有效的用户名和口令组合以及检索到的访问令牌等信息。 ...填写你的AWS访问密钥并运行脚本后，Bash脚本将针对我们的配置信息输出JSON FrieProx配置信息。...Select an email format #> 1（向右滑动，查看更多）如果你想要提供自己的电子邮件列表，可以使用--username参数，输出结果会自动存储在TeamFiltration.db文件中

1.2K1 0

通过 Beacon 获取 Microsoft Entra 刷新令牌

传统方法通常依赖从终端提取主刷新令牌 (PRT)，这可通过信标（如使用 aad_prt_bof 或 Kozmer 的 request_aad_prt 之类的 BOF）实现。...然而，使用该 BOF 时需特别注意以下事项：指定的客户端 ID 必须在 Entra 租户中配置为允许使用 http://localhost 作为重定向 URI。...该方法依赖于用户已在浏览器中完成身份验证，因此适用于已攻陷用户交互终端的场景。刷新令牌的有效期取决于 Entra 租户的配置，通常较长，但仍需定期轮换以维持访问。...它本质上允许这些应用程序无需托管 Web 服务器或使用自定义 URI 方案即可从 Entra 接收授权码——浏览器只需使用“code”参数重定向到此 URI，应用程序即可捕获该 URI 并交换访问令牌和刷新令牌...如果我们从那里提取它，就可以使用原生客户端重定向 URI，从而访问更大范围的 FOCI，并解除只能使用允许“ http://localhost ”作为重定向 URI 的 FOCI 的限制。

6181 0

每周云安全资讯-2022年第34周

https://www.4hou.com/posts/XVqA 4 如何使用第三方 SMS 服务接管 Signal 帐户攻击者渗透云通讯公司 Twilio 并利用其短信服务攻击 Signal 用户。...通过限制对各种Linux功能的访问，bpflock能够减少攻击面并阻止一些众所周知的攻击技术。...https://mp.weixin.qq.com/s/qH_9C3m6hKJDBT4Ts18K1w 8 如何保护AWS S3 存储桶敏感数据当各种数据最终落到第三方提供商（在我们的例子中为 AWS S3...）上时，作为数据的所有者，我们需要谨慎并确保启用或配置 AWS 提供的所有安全功能以确保最大的安全性。...让我们从混合云的用例开始。

9181 0

域渗透-横向移动手法总结

1、PTH横向pass-the-hash 在内网渗透中是一种很经典的攻击方式，原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务，而不用提供明文密码。...pass the hash 原理：原理：• 在 Windows 系统中，通常会使用 NTLM 身份认证• NTLM 认证不使用明文口令，而是使用口令加密后的 hash 值，hash 值由系统 API 生成...从 Windows Vista 和 Windows Server 2008 开始，微软默认禁用 LMhash• 如果攻击者获得了 hash，就能够在身份验证的时候模拟该用户(即跳过调用API 生成 hash...• 使用 PsExec 可以直接获得 System 权限的交互式 Shell 的前提目标是administrator 权限的 shell• 在域环境测试时发现，非域用户无法利用内存中的票据使用 PsExec...（包括但不限于）javascriptuse auxiliary/scanner/smb/smb_ms17_010 #扫描是否存在该漏洞set rhosts 10.10.10.14

5962 0

腾讯云 API 最佳实践：善用幂等性

更好一点的，你可以指定一个前缀以示用途，例如CT-a9a90aa6-751a-41b6-aad6-fae360632808 。什么是幂等性？...云服务器的“创建实例”接口可以一次创建一百台实例，包年包月预付费。如果这一次你调用接口失败了，例如在返回结果前网络中断了，死机了，你设置的超时时间太短提前关闭了连接等等，服务器当前的状态你是不知道的。...服务器根据唯一标识符，在腾讯云 API 中是 ClientToken ，判断操作是否曾经发生过。如果找到了同样的标识符，则表示这个操作发生过，直接返回上一次的结果；如果没有发生过，继续执行。...调用者使用幂等性时，需要注意，不同的请求，它的 ClientToken 必须是不一样的，同一个请求，它的 ClientToken 必须是一样的。...这是一个发展的过程，还请用户谅解，并对我们产品的 API 监督和督促，提出意见和建议，共同成长，创造价值。

7.1K15 0

从零到一：打造高效的社区 API 集成到 MCP 服务方案

今天，我将详细讲解如何一步步地将一个API接口封装成MCP服务器，并在实际项目中加以使用。MCP初始化 MCP要初始化 MCP 服务器，首先需要安装 uv 并设置 Python 项目和环境。..."mcpcli" httpx在所有操作执行完成之后，我们可以进入该目录并打开main.py 文件。...文件中包含了一个简单的两个数相加的示例，我们无需关注它，直接删除该内容并重新编写即可。社区 API由于社区没有提供任何公开的API接口供我们使用，因此我们只能通过手动抓取接口的方式来获取数据。...通过该界面，用户可以快速验证本地环境是否能够正常运行，确保系统配置正确无误。测试命令如下：mcp dev main.py执行完相关命令后，控制台会输出本地服务的IP地址和端口号。...效果演示我们直接在左侧的Craft标签中开始使用一下，这里简单问一下Kingbase 数据库如何通过参数配置实现透明数据加密（TDE）问题，看看能不能回答我，效果如下：效果确实非常不错，这样一来，工作中遇到问题时

1.1K4 3

如何使用Certsync远程转储NTDS黄金证书和UnPAC哈希

在该工具的帮助下，广大研究人员能够轻松获取目标域控制器中的用户列表、CA信息和CRL，并转储CA证书和私钥。值得一提的是，在整个业务流程中，该工具不需要使用到DRSUAPI。...工具功能 1、从 LDAP 转储用户列表、CA 信息和 CRL； 2、转储 CA 证书和私钥； 3、为每个用户离线伪造证书； 4、UnPAC 每个用户的哈希以获得 nt 和 lm 哈希；为什么需要...（向右滑动，查看更多）或者直接使用pip安装： pip install certsync 工具使用广大研究人员可以通过下列方法直接运行Certsync： certsync -u khal.drogo...然后，它会找到CA证书和私钥，并为每个用户生成伪造证书。最后，它会使用UnPAC算法获取用户的nt和lm哈希值。...，但会增加生成时间；使用这些选项可以根据广大研究人员的功能需求自定义Certsync工具的功能。

5711 0

基于RBAC模型的SpringSecurity权限控制能力

RBAC权限框架基于角色进行鉴权，在该框架中具有三大模块：角色（Role）、用户（User）、权限（Permissions）， RBAC使用最小特权原则，当前请求访问的用户具备那些角色，该角色具备那些权限...，所具备的权限中是否包含本次访问所需的权限？...一般的，SpringSecurity的权限控制设计思路为：User - User_Role -Role -Role_Menu -Menu，即：用户属于什么角色，该角色具有什么权限，具有该权限可以访问那些页面...） Menu可以理解为权限，在Web中，菜单中的显示与否可以视为用户是否具备该权限如此便完成了权限控制的设计方案。...使用数据库的方式做登录认证由于篇幅原因，不宜过长，所以我是分开书写的，权限功能需要整合数据库相关，在我的另一篇文章中： SpringBoot整合Redis、MyBatis-Plus 因为敲完这个demo

1.7K3 0

域渗透之NTML-Hash

工作组环境NTML认证流程工作组中，涉及Clinet、Server，流程如下：用户访问客户端计算机并输入用户名和密码信息，尝试进行登录客户端计算机对密码进行哈希处理并缓存密码hash，丢弃实际的明文密码...服务器使用username从SAM帐户数据库中检索用户密码的hash，使用该hash来加密challenge，并与客户端计算的响应值进行比较。如果它们相同，则验证成功。...翻译过来流程大致如下：用户访问客户端计算机并输入用户名和密码信息，尝试进行登录客户端计算机对密码进行哈希处理并缓存密码hash，丢弃实际的明文密码(不存储)，然后将用户名发送到服务器，发起认证请求...Challenge值，以便观察流量格式： Challenge = 1122334455667788 开启监听后，当用户进行了交互，如在资源管理器中以UNC路径形式访问伪造的服务器： ?...我用最简单的语言表达一下: windows域中使用kerberos协议过程中，为了让SS服务器判断Client是否有权限访问服务，引入了PAC机制。构造PAC也是这个漏洞的根本。 1.

5.2K5 3

使用 CVE-2021-43893 在域控制器上删除文件

易受攻击的产品可以合理地部署在具有无约束委派的系统上，这意味着我可以使用 CVE-2021-43893 作为低权限远程用户远程植入文件，将我的 LPE 变成 RCE。...该漏洞肯定受到低权限用户可以在域控制器上创建文件的限制的限制，也许这就是该漏洞没有受到更多关注的原因。但正如我所提到的，它可以与本地漏洞配对以实现远程代码执行，因此，我认为它值得更多关注。...使用诸如强制受害者服务器访问第三方服务器（本例中为 10.0.0.4）之类的 UNC 路径，以便读取所需的文件共享。然后，第三方服务器可以告诉受害者进行身份验证以访问共享，并且受害者有义务。...使用 CVE-2021-43893 导致 RCE 的合理场景我对这个漏洞的兴趣始于本地权限提升，我想将其转换为作为更高权限用户的远程代码执行。...从进攻的角度来看，这并没有太大的作用，但可以作为一种简单、省力的擦除或数据破坏攻击。这是一个从管理员帐户远程覆盖 calc.exe 的愚蠢示例。

1.9K3 0

FreeBuf周报 | 亲俄黑客组织瘫痪欧洲议会网站；亚航空500万乘客和员工信息被盗

3、印度政府发布《2022年个人数据保护法案》草案印度政府11月18日发布了《2022年个人数据保护法案》草案，自2018年7月首次提出以来，这是印度政府第四次修改该草案。...2、基于Go的恶意软件正在大肆窃取用户信息越来越多的网络犯罪集团转向名为 Aurora 的信息窃取恶意软件，该恶意软件基于Go开源编程语言，旨在从浏览器、加密货币钱包和本地系统中获取数据。...，是使用的ThreadLocal进行修饰的，并且，在执行请求的过程中，通过反射修改属性值，能够记录下当前线程的request对象的值。...省心工具 1、TeamFiltration：一款针对O365 AAD账号安全的测试框架 TeamFiltration是一款针对O365 AAD账号安全的跨平台安全测试框架，在该工具的帮助下，广大研究人员可以轻松对...2、cicd-goat：一个包含漏洞的CICD安全学习靶场环境 cicd-goat是一个故意包含大量漏洞的CI/CD安全学习靶场环境，广大研究人员可以使用cicd-goat来学习关于CI/CD安全的相关内容

5241 0

综合环境靶场攻击过程记录（内网域森林+服务森林）

1fbf3883a76d1cc4 4）上线CS （1）CS建立中转监听生成木马ch4nge2.exe （2）横向攻击&上线CS 利用wmiexec.py进行横向攻击，wmiexec.py是kali自带我这里使用...trueset command whoamiset rhosts 10.10.10.10run 后面思路也是创建用户，在web中连接IPC，上传木马，使用永恒之蓝执行木马永恒之蓝创建domain...获取原hash 使用impacket中的secretsdump，从上面得到的几个文件中还原账户哈希值。...，运行上线CS （2）方法二：日志文件写 shell SHOW VARIABLES LIKE 'general%'; general_log 默认关闭，开启它可以记录用户输入的每条命令，会把其保存在对应的日志文件中...，可以正常访问输入http://10.10.10.66/ch4nge2.war 点击Invoke 访问jsp大马下一篇综合环境靶场攻击过程记录(内网域森林+服务森林)中篇

5.6K2 1

点击加载更多

基于Apache Parquet™的更细粒度的加密方法

用ASP.NET Core 2.1 建立规范的 REST API -- 保护API和其它

“最小权限访问”依然是安全最前线

谈谈域渗透中常见的可滥用权限及其应用场景(一）

每周云安全资讯-2023年第27周

Flowable实战-Camel使用「建议收藏」

即拉即用：你不知道的持续集成的3个Git Hooks详解

关于 SecureWorks 最近的 Azure Active Directory 密码暴力破解漏洞的 POC

TeamFiltration：一款针对O365 AAD账号安全的测试框架

通过 Beacon 获取 Microsoft Entra 刷新令牌

每周云安全资讯-2022年第34周

域渗透-横向移动手法总结

腾讯云 API 最佳实践：善用幂等性

从零到一：打造高效的社区 API 集成到 MCP 服务方案

如何使用Certsync远程转储NTDS黄金证书和UnPAC哈希

基于RBAC模型的SpringSecurity权限控制能力

域渗透之NTML-Hash

使用 CVE-2021-43893 在域控制器上删除文件

FreeBuf周报 | 亲俄黑客组织瘫痪欧洲议会网站；亚航空500万乘客和员工信息被盗

综合环境靶场攻击过程记录（内网域森林+服务森林）

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐