开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

访问Zendesk ticket api时未经身份验证访问

当访问Zendesk ticket API时未经身份验证访问，意味着请求未提供有效的身份验证凭据。Zendesk是一个提供客户支持和服务台解决方案的云平台，它提供了一组API供开发人员访问和操作Zendesk系统的数据和功能。

身份验证在API访问中非常重要，它可以确保只有经过授权的用户才能访问和操作敏感数据。对于访问Zendesk ticket API，可以使用以下方式进行身份验证：

Basic Authentication（基本身份验证）：使用该方法，您可以通过提供Zendesk账号的邮箱和API Token进行身份验证。API Token是一个用于验证API请求的唯一字符串，可以在Zendesk的管理员界面中生成。
OAuth（开放授权）：OAuth是一种更安全的身份验证方法，它允许用户授权第三方应用程序访问其Zendesk账户。开发人员可以在Zendesk上注册他们的应用程序，并使用OAuth协议与Zendesk进行身份验证和访问。

在身份验证成功后，您可以使用Zendesk ticket API执行各种操作，例如创建、更新、检索和删除支持票据。以下是访问Zendesk ticket API的一些常见应用场景：

创建支持票据：通过API可以自动化地创建新的支持票据，以便客户能够提交问题和请求支持。
更新支持票据：您可以使用API更新现有的支持票据，例如添加注释、更改状态或指派给不同的代理人。
检索支持票据：通过API可以检索特定条件下的支持票据，例如检索未解决的票据、按照优先级排序的票据等。
删除支持票据：当不再需要某个支持票据时，可以使用API删除它。

推荐的腾讯云相关产品：在腾讯云的云计算服务中，您可以使用以下产品来支持和扩展您的Zendesk ticket API访问：

腾讯云API网关（API Gateway）：可以帮助您创建、发布、维护、监控和安全地扩展API。您可以使用API网关来代理和保护Zendesk ticket API，并提供强大的流量控制和身份验证功能。
腾讯云访问管理（CAM）：CAM可以帮助您管理和控制您的API访问权限，包括用户身份验证、授权和访问策略等。
腾讯云对象存储（COS）：如果您需要在Zendesk ticket API中存储和管理文件，可以使用COS来实现。COS提供了高度可靠和可扩展的对象存储服务。

请注意，以上推荐的产品仅为示例，并不代表您必须使用它们。根据您的具体需求，您可以选择适合您的任何云计算平台和相关产品。

相关搜索:Gitlab API -尝试使用私有访问令牌访问api时，获取401未经授权我收到错误401 :访问web API时未经授权 TokenResponseException: 401尝试访问谷歌联系人Api时未经授权我收到错误401 :访问我的web API时未经授权 OpenID身份验证和API访问尝试访问目录api时，无权访问此资源/api 获取API请求收到401个未经授权的访问 symfony 3-如何允许未经身份验证访问URL前缀 401尝试使用获取的访问令牌调用office 365 API时未经授权拒绝WEB API Google身份验证访问如何从API读取数据，该API在访问请求URL时出现未经授权的错误通过pouchDB使用Api访问云时无法进行身份验证使用cookies请求cURL PHP时未经授权的访问尝试登录acr时获得未经授权的访问权限如何验证Google身份验证API访问令牌？访问API时连接被拒绝尝试访问测试组织的Salesforce API时身份验证出错通过API在云元素中创建zendesk实例的访问令牌换码失败从Apple快捷方式访问API时，调用API时总是返回“未提供身份验证凭据”，而不是从Postman访问使用Chrome身份验证令牌xoxc访问Slack API -

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

KuCoin用户信息泄露：一次百万美元赏金的背后故事

近期，KuCoin加密货币交易平台在一个名为HackenProof的漏洞赏金平台上，宣布提供高达100万美元的赏金。

02

webservice 安全和加密的方法

众所周知，WebService访问API是公开的，知道其URL者均可以研究与调用。那么，在只允许注册用户的WebService应用中，如何确保API访问和通信的安全性呢？本文所指的访问与通信安全性包括：访问安全性：当前访问者是注册合法用户通信安全性：客户端与服务器之间的消息即使被第三方窃取也不能解密本文安全的基本思路是：注册用户登录时使用RSA加密 Web API调用参数使用DES加密（速度快） Web API调用中包含一个身份票据Ticket Web服务器保存当前Ticket的Session，包括：Ticket、DES加密矢量、注册用户基本信息 1 WebService身份验证确保注册用户的访问安全，需要如下步骤：1）产生一个当前客户端机器票据（Ticket）；2）请求服务器RSA公钥（RSAPublicKey）；3）使用RSA加密登录口令及发布DES加密矢量（DESCipherVector）。 1.1 产生客户端机器票据Ticket 一般而言，可以由客户端机器根据自己的MAC、CPU序列号等唯一标识产生一个本机器的Ticket字符串票据，其目的是：唯一标识当前客户端，防止其它机器模仿本客户端行为。 1.2 请求服务器公钥RSAPublicKey 客户端携带票据Ticket向服务器请求RSA公钥RSAPublicKey。在服务器端，一般采取如下策略产生RSA加密钥匙： Application_Start时产生一个1024或更长的RSA加密钥匙对。如果服务器需要长久运行，那么Application_Start产生的RSA可能被破解，替代方案是在当前Session_Start时产生RSA加密钥匙对保存当前票据对应的客户帐号对象，即：Session[Ticket] = AccountObject，在确认身份后在填写AccountObject具体内容：帐号、RSA加密钥匙对、DES加密矢量完成上述步骤后，服务器将RSAPublicKey传回给客户端。 1.3 加密登录口令及DES加密矢量客户端获得RSAPulbicKey后，产生自己的DES加密矢量DESCipherVector（至少要8位及以上，该加密矢量用于以后的常规通信消息加密，因为其速度比RSA快）。接着，客户端使用RSAPublicKey加密登录帐号、口令及DESCipherVector，连同Ticket，发送到服务器并请求身份验证。登录API格式如下： public void Login(string Ticket, string cipherLongID, string cipherPassword)；如果验证成功，服务器将当前帐号信息、RSA钥匙、DESCipherVector等保存到会话Session[Ticket]中。 2 WebService通信安全性 2.1 加密WebService API参数身份确认后，在客户端调用的WebService API中，必须包括参数Ticket，其它参数则均使用DESCipherVector加密。服务器端返回的消息也同样处理。例如，提交一个修改email的函数定义为： public void ModifyEmail(string Ticket, string cipherEmai)； 2.2 客户端解密消息客户端接收到服务器返回消息后，先做解密操作，如果成功则进入下步处理。否则抛出加密信息异常。 2.3 服务器端解密消息服务器接收到客户提交的API请求后，首先验证Ticket的合法性，即查找Session中是否有该票据以验证客户身份。然后，解密调用参数。如果成功则进入下不操作，否则返回操作异常消息给客户端。需要指出，如果第三方截获全部会话消息，并保留其Ticket，此时服务器端仍然认可这个第三方消息。但是，第三方不能浏览，也不能修改调用API的参数内容，此时解密参数时将抛出异常。上面探讨了一个基于加密的WebService访问与通信安全方法，即使第三方获取消息，不能查看原始内容，也不能修改内容，保证了WebService API的安全性。本方案还是存在一个明显的缺陷，即：如果直接修改调用参数内容，在客户端或服务器端解密时不抛出异常，如何处理？如何保证解密时一定抛出异常？这个待以后研究后回答。

01

webservice 安全和加密的方法

众所周知，WebService访问API是公开的，知道其URL者均可以研究与调用。那么，在只允许注册用户的WebService应用中，如何确保API访问和通信的安全性呢？本文所指的访问与通信安全性包括：

03

看完您如果还不明白 Kerberos 原理，算我输！

强大的身份验证和建立用户身份是 Hadoop 安全访问的基础。用户需要能够可靠地 “识别” 自己，然后在整个 Hadoop 集群中传播该身份。完成此操作后，这些用户可以访问资源（例如文件或目录）或与集群交互（如运行 MapReduce 作业）。除了用户之外，Hadoop 集群资源本身（例如主机和服务）需要相互进行身份验证，以避免潜在的恶意系统或守护程序 “冒充” 受信任的集群组件来获取数据访问权限。

07

关于ASP.NET MVC中使用Forms验证的问题

表单验证(Forms验证)是一个基于票据（ticket-based）[也称为基于令牌(token-based)]的系统。这意味着当用户登录系统以后，他们得到一个包含基于用户信息的票据（ticket）。这些信息被存放在加密过的cookie里面，这些cookie和响应绑定在一起，因此每一次后续请求都会被自动提交到服务器。

02

Kerberos基本概念及原理汇总

强大的身份验证和建立用户身份是Hadoop安全访问的基础。用户需要能够可靠地“识别”自己，然后在整个Hadoop集群中传播该身份。完成此操作后，这些用户可以访问资源（例如文件或目录）或与集群交互（如运行MapReduce作业）。除了用户之外，Hadoop集群资源本身（例如主机和服务）需要相互进行身份验证，以避免潜在的恶意系统或守护程序“冒充”受信任的集群组件来获取数据访问权限。

02

配置客户端以安全连接到Kafka集群- Kerberos

这是有关Apache Kafka安全性的简短博客文章系列的第一部分。在本文中，我们将说明如何配置客户端以使用不同的身份验证机制对集群进行身份验证。

02

架构介绍

CAS服务器和客户端构成了CAS系统体系结构的两个物理组件，它们通过各种协议进行通信。

02

如何保护 Windows RPC 服务器，以及如何不保护。

PetitPotam技术在人们的脑海中仍然记忆犹新。虽然它不是直接的利用，但它是一个有用的步骤，可以从特权帐户获取未经身份验证的 NTLM 以转发到 AD CS Web 注册服务之类的东西以破坏 Windows 域。有趣的是，在微软最初对修复这些问题不屑一顾之后，他们发布了一个修复程序，尽管在撰写本文时似乎还不够。

02

公司用了 5 年的单点登录方案，稳！

单点登录（Single Sign-On，SSO）是一种身份验证服务，允许用户使用单个标识来登录多个应用程序或系统。如下图所示，用户只需要用户名/密码登陆一次就可以访问系统A、系统B和系统C。

01

通过SSH隧道传递票证

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

03

内网渗透-kerberos原理详解

Kerberos协议是一个专注于验证通信双方身份的网络协议，不同于其他网络安全协议的保证整个通信过程的传输安全，kerberos侧重于通信前双方身份的认定工作，帮助客户端和服务端解决“证明我自己是我自己”的问题，从而使得通信两端能够完全信任对方身份，在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。

01

API NEWS | 谷歌云中的GhostToken漏洞

欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。

02

[AI OpenAI-doc] GPT动作中的数据检索

许多组织依赖第三方软件存储重要数据。例如，Salesforce用于客户数据，Zendesk用于支持数据，Confluence用于内部流程数据，Google Drive用于业务文档。这些提供商通常提供REST API，使外部系统能够搜索和检索信息。

01

Windows认证--Kerberos

Kerberos是一种由MIT(麻省理工学院)提出的一种网络身份验证协议，可通过密钥系统为客户端/服务端提供认证服务。它能够为网络中通信的双方提供严格的身份验证服务，确保通信双方身份的真实性和安全性。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全。

08

PetitPotam – NTLM 中继到 AD CS

在企业环境中部署 Active Directory 证书服务 (AD CS) 可以允许系统管理员利用它在不同目录对象之间建立信任。但是，它可能允许红队操作员对 AD CS 的 Web 界面进行 NTLM 中继攻击，以破坏网络。Web 界面用于允许用户获取证书（Web 注册），通过 HTTP 协议，不支持签名并接受 NTLM 身份验证。

01

第四期学习活动—第二天优秀作业

NTLM是NT LAN Manager的缩写，这也说明了协议的来源。NTLM 是指 telnet 的一种验证身份方式，即质询/应答身份验证协议

04

0919-Apache Ozone安全架构

身份认证是 Ozone 组件识别用户身份的过程，Apache Ozone支持使用Kerberos和security tokens的强身份认证。

01

单点登录（SSO）解决方案介绍

单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

05

安全通告｜SaltStack多个高危漏洞风险通告（CVE-2020-16846/CVE-2020-25592）

近日，腾讯云安全运营中心监测到，SaltStack被曝存在两个高危漏洞（漏洞编号：CVE-2020-16846/CVE-2020-25592），未经身份验证的攻击者可能利用以上漏洞，进行权限绕过，执行恶意代码。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。漏洞详情 CVE-2020-16846：可通过网络访问Salt API的未经身份验证的用户，可使用Shell注入，通过SSH客户端在Salt-API上运行代码。 CVE-2020

03

Django REST Framework-权限

Django REST Framework（DRF）为开发人员提供了一种灵活的权限系统，该系统可让您轻松地在API中管理和保护敏感数据。权限系统基于“允许访问的用户”和“访问用户的操作”进行配置，使您可以完全控制API的访问级别。

02

ATT&CK视角下的红蓝对抗:二十.横向移动之利用PTT（票据传递）进行横向渗透

PTT（Pass the Ticket，票据传递）攻击是一种使用Kerberos票据代替明文密码或NTLM哈希的方法。这种攻击手段可以用Kerberos票据进行内网横向渗透，不需要管理员权限，它最常见的用途可能是使用黄金票据和白银票据，通过票据传递访问主机，其利用方法十分简单。例如，通过这种手段，攻击者可以从Linux系统中窃取Kerberos凭据，然后在身份验证时将其传递到Windows机器上，达到横向渗透的结果。

04

以最复杂的方式绕过 UAC

让我们从系统如何防止您绕过最无意义的安全功能开始。默认情况下，如果用户是本地管理员，LSASS 将过滤任何网络身份验证令牌以删除管理员权限。但是有一个重要的例外，如果用户是域用户和本地管理员，则 LSASS 将允许网络身份验证使用完整的管理员令牌。如果说您使用Kerberos在本地进行身份验证，这将是一个问题。这不是微不足道的 UAC 绕过吗？只需以域用户身份向本地服务进行身份验证，您就会获得绕过过滤的网络令牌？

03

Windows安全认证机制之Kerberos 域认证

Kerberos是由麻省理工学院（MIT）开发的网络身份验证协议，它的主要好处是强大的加密和单点登录（SSO）。Kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术（如共享密钥）实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据的情况下保证通讯安全。

01

kerberos认证下的一些攻击手法

Kerberos黄金票据是有效的TGT Kerberos票据，因为它是由域Kerberos帐户（KRBTGT）加密和签名的。TGT仅用于向域控制器上的KDC服务证明用户已被其他域控制器认证。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的。

06

三步轻松理解Kerberos协议

Kerberos是一种身份验证协议，它作为一种可信任的第三方认证服务，通过使用对称加密技术为客户端/服务器应用程序提供强身份验证。在域环境下，AD域使用Kerberos协议进行验证，熟悉和掌握Kerberos协议是学习域渗透的基础。

00

【愚公系列】2022年04月 Python教学课程 72-DRF框架之认证和权限

身份验证是将传入请求与一组标识凭据（如请求来自的用户或签名时使用的令牌）关联的机制。然后，权限和限制策略可以使用这些凭据来确定是否应允许请求。

03

Django REST Framework-基于JSON Web Token的身份验证

在Django REST Framework中，基于JSON Web Token (JWT) 的身份验证是一种常见的身份验证方法。JWT是一种基于标准JSON格式的开放标准，它可以用于安全地将信息作为JSON对象传输。

03

9月重点关注这些API漏洞

漏洞详情：Hadoop是一款由Apache基金会推出的分布式系统框架，它通过著名的 MapReduce 算法进行分布式处理，Yarn是Hadoop集群的资源管理系统。此次事件主要因Hadoop YARN 资源管理系统配置不当，导致可以未经授权进行访问，从而被攻击者恶意利用。攻击者无需认证即可通过REST API部署任务来执行任意指令，最终完全控制服务器。

01

内网渗透 | Kerberos 协议与 Kerberos 认证原理

如果你了解内网渗透，那么应该都对 IPC、黄金票据、白银票据、、PTT、PTK 这些老生常谈的词汇再熟悉不过了，对其利用也应该是了如指掌了吧。但是如果你对其背后的所使用的原理还不太了解的话，那么这篇（系列）文章你一定不能错过。

03

Kerberos 黄金门票

SID 历史记录是一项旧功能，可实现跨 Active Directory 信任的回溯。此功能在 Active Directory 首次发布以支持迁移方案时就已到位。当用户通过身份验证时，用户所属的每个安全组的 SID 以及用户 SID 历史记录中的任何 SID 都将添加到用户的 Kerberos 票证中。由于 SID History 旨在跨信任工作，因此它提供了跨信任“模拟”。

02

前端登录，这一篇就够了

登录是每个网站中都经常用到的一个功能，在页面上我们输入账号密码，敲一下回车键，就登录了，但这背后的登录原理你是否清楚呢？今天我们就来介绍几种常用的登录方式。

03

利用黄金证书劫持域控

域控渗透最常见的域持久性技术之一是黄金票据攻击，它涉及使用“ krbtgt ”的 NTLM 哈希创建 kerberos 票证。但是在部署了 Active Directory 认证服务 (AD CS) 的服务器的域中，可能会在发生入侵时被滥用以实现域持久性。通过窃取 CA 证书的私钥，红队可以伪造和签署证书以用于身份验证。在部署 Active Directory 证书服务 (AD CS) 期间，域中默认启用基于证书的身份验证。因此，需要将这些系统视为第 0 层资产并得到适当保护。

03

架构之路 | 浅谈单点登录（SSO）技术实现机制

单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。２用来解决什

09

ASP.NET底层封装HttpModule实例---FormsAuthentication类的分析

HttpModule是用来注册HttpApplication事件的，实现IHttpModule接口的托管代码模块可以访问该请求管道的所有事件。那么对于我们最常用的ASP.NET Forms身份验证模块是如何底层封装处理的呢？今天过了一遍ASP.NET生命周期，以前的时候喜欢做各种应用，小程序等，渐渐地就觉得真没意思，因为只要你懂点基本的语法，会用相关的库亦或是框架就行，如果出错就是些许的细节错误，严格来说这不锻炼人，这有点像是温水煮青蛙，当然不能说这不好，这可以帮我们熟练地掌握框架的使用，增加熟练度及相关基础的应用，但是就个人而言老觉得缺点什么...后来想想，我要做的其实就是让别人用我开发的框架，库，我想研究的是框架底层的架构而不是用框架。于是过了一遍生命周期，处了IIS处理请求部分实在不懂之外，对ASP.NET处理请求还是更熟练了，对于不懂得我不会去刻意强求懂，毕竟自己的技术深度，广度摆在那，日后到了时候自然会懂。IIS7较之于之前的版本，其扩增了一个集成模式。IS 7.0 集成管道是一种统一的请求处理管道，它同时支持本机代码和托管代码模块。实现 IHttpModule 接口的托管代码模块可访问该请求管道中的所有事件。例如，托管代码模块可用于 ASP.NET 网页（.aspx 文件）和 HTML 页（.htm 或 .html 文件）的 ASP.NET Forms 身份验证。即使 IIS 和 ASP.NET 将 HTML 页视为静态资源，情况也是如此。从功能上讲，HttpModule之于ASP.NET，就好比ISAPI Filter之于IIS一样。IIS将接收到的请求分发给相应的ISAPI Extension之前，注册的ISAPI Filter会先截获该请求。ISAPI Filter可以获取甚至修改请求的内容，完成一些额外的功能。与之相似地，当请求转入ASP.NET管道后，最终负责处理该请求的是与请求资源类型相匹配的HttpHandler对象，但是在Handler正式工作之前，ASP.NET会先加载并初始化所有配置的HttpModule对象。HttpModule在初始化的过程中，会将一些功能注册到HttpApplication相应的事件中，那么在HttpApplication整个请求处理生命周期中的某个阶段，相应的事件会被触发，通过HttpModule注册的事件处理程序也得以执行。所有的HttpModule都实现了IHttpModule接口，下面是IHttpModule的定义。其中Init方法用于实现HttpModule自身的初始化，该方法接受一个HttpApplication对象，有了这个对象，事件注册就很容易了。 ASP.NET提供的很多基础构件（Infrastructure）功能都是通过相应的HttpModule实现的，下面类列出了一些典型的HttpModule: OutputCacheModule：实现了输出缓存（Output Caching）的功能； SessionStateModule：在无状态的HTTP协议上实现了基于会话（Session）的状态； WindowsAuthenticationModule + FormsAuthenticationModule + PassportAuthentication- Module：实现了3种典型的身份认证方式：Windows认证、Forms认证和Passport认证； UrlAuthorizationModule + FileAuthorizationModule：实现了基于Uri和文件ACL（Access Control List）的授权。抱着吹毛求疵的学习态度，我研究了一下Forms认证的源码(其实也不是源码，利用reflector查出来的)

01

【ASP.NET Core 基础知识】--身份验证和授权--用户认证的基本概念

用户认证在网络安全中起着至关重要的作用。首先，它可以确保只有经过授权的用户才能访问特定的资源或服务，从而保护了系统和数据的安全。其次，用户认证可以帮助追踪和记录用户的活动，如果出现安全问题，可以追踪到具体的用户。此外，用户认证还可以实现个性化服务，根据用户的身份提供定制化的内容或服务。因此，用户认证对于任何需要保护数据安全或提供个性化服务的系统来说都是必不可少的。

00

如何禁用Kerberos

在Hadoop集群内提供身份认证最佳和可接受的方式是使用Kerberos。Kerberos提供了强大的身份验证功能，但是它的复杂性也让很多集群管理员心生畏惧。而开发者在调用Hadoop生态组件的API或者向YARN提交任务时，需要在代码中添加Kerberos访问机制，如果不是对在数据安全极其苛刻的条件下，启用Kerberos对管理员和开发人员都是一种很大的负担。本文主要讲解如何在CDH7.1.1集群中禁用Kerberos。

02

SPN信息扫描

在使用Kerberos身份验证的网络中，必须在内置计算机帐户（如NetworkService或LocalSystem）或用户帐户下为服务器注册SPN。对于内置帐户，SPN将自动进行注册。但是，如果在域用户帐户下运行服务，则必须为要使用的帐户手动注册SPN。因为域环境中每台服务器都需要在Kerberos身份验证服务注册SPN，所以我们可以直接向域控制器进行查询我们需要的服务的SPN，就可以找到我们需要使用的服务资源在哪台机器上。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个域中的计算机上安装多个服务实例，则每个实例都必须具有自己的SPN。如果客户端可能使用多个名称进行身份验证，则给定的服务实例可以具有多个SPN。例如，SPN总是包含运行服务实例的主机名称，所以服务实例可以为其主机的每个名称或别名注册一个SPN。

01

Kerberos协议认证过程

Kerberos 是一种由 MIT（麻省理工大学）提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。

01

Django REST Framework-常用的权限类型

Django REST Framework是一个用于构建Web API的强大框架。其中一个重要的特性是提供了多种权限类型来控制用户对API端点的访问。

02

了解GSSAPI和Kerberos

在计算机网络安全中，一种常见的需求是在不同的实体之间安全地进行身份验证。这可以是两台服务器之间，或者是用户与服务之间。为了满足这种需求，已经发展出了一些不同的身份验证机制。本文将对两种重要的机制进行详细的讨论：GSSAPI和Kerberos。

01

内网渗透 | Kerberos 协议相关安全问题分析与利用

在上一节中我们说到过，Kerberos 认证并不是天衣无缝的，这其中也会有各种漏洞能够被我们利用，比如我们常说的 MS14-068、黄金票据、白银票据等就是基于Kerberos协议进行攻击的。下面我们便详细的讲解一下 Kerberos 认证中的相关安全问题。

03

Java 新手如何使用Spring MVC RestAPI的加密

随着互联网的普及和应用程序的发展，数据安全和隐私保护成为了至关重要的问题。在开发Java应用程序时，保护传输的数据免受未经授权的访问变得尤为重要。本文将介绍如何使用Spring MVC和一些加密技术来保护您的RestAPI，以确保数据在传输过程中是安全的。

01

8.寻光集后台管理系统-用户管理(增删改查)

在完成了登录和注册视图之后，需求中还需要管理员可以管理用户列表，所以就需要完成基础的增删改查操作

03

6月API安全漏洞报告

为了让大家的API更加安全，致力于守护数字世界每一次网络调用，小阑给大家整理了6月份的一些API安全漏洞报告，希望大家查漏补缺及时修复自己API可能出现的漏洞。

01

Kerberos 身份验证在 ChunJun 中的落地实践

Kerberos，在古希腊神话故事中，指的是一只三头犬守护在地狱之门外，禁止任何人类闯入地狱之中。

03

NTLM及Kerberos认证流程

NTLM是NT LAN Manager的缩写，NTLM 是指 telnet 的一种验证身份方式，即问询/应答身份验证协议，是 Windows NT 早期版本的标准安全协议，Windows 2000 支持 NTLM 是为了保持向后兼容。Windows 2000内置三种基本安全协议之一。

02

内网渗透基础(一)

在一个大型单位中，可能有成百上千台计算机，他们相互连接组成局域网，如果不进行分组，那么网络关系就会杂乱不堪，此时工作组的出现，成功解决了这个问题。它将局域网中不同的计算机按功能分别列入不同的工作组，使得网络更有序。

01

思科修复了允许攻击者以root身份执行命令的BUG

近期，思科解决了Cisco Nexus Dashboard数据中心管理解决方案中的严重漏洞，这些漏洞可让远程攻击者以root或管理员权限执行命令和操作。第一个安全漏洞（被评为严重严重性漏洞，编号为 CVE-2022-20857）使未经身份验证的威胁参与者能够通过发送HTTP 请求来访问API，并以root 权限远程执行任意命令。第二个漏洞（Web UI 中的一个高严重性漏洞，编号为 CVE-2022-20861）允许远程攻击者通过欺骗经过身份验证的管理员单击恶意链接来进行跨站点请求伪造攻击。对此，思科

02

API 安全最佳实践

当下的数字化环境中，应用程序编程接口（API）在实现不同系统和应用程序之间的通信和数据交换中扮演着关键角色。然而，API 的开放性也带来了潜在的安全挑战。因此，确保强大的 API 安全机制对于保护敏感信息和维护系统的完整性至关重要。在本篇文章中，我们将深入研究 API 的安全性，并通过使用 C# 的实际示例探索一些基本机制。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭