文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

HAwebsso.nl未受保护API端点泄露1.5万医生凭证数据

大多数LHV和NHG应用程序共享使用hawebsso.nl域的单点登录(SSO)身份验证方法。SSO系统分析SSO是一种身份验证方法,允许用户使用一组登录凭据访问多个应用程序和服务。...Admin.js分析登录页面加载不同的JavaScript文件,其中一个加载的文件引起了我的注意:admin.js。...但是在这里我现在不知道使用了哪种哈希算法。知道ASP在服务器上运行,我们可能会从Microsoft提供的文档中获得更多线索。...ASP.NET Core Identity版本3:PBKDF2 with HMAC-SHA256,128位盐,256位子密钥,10000次迭代这给了我一个提示,ASP开箱即用地使用了适当的哈希算法,这是我目前无法轻易破解的...(自2019年底以来),过去2年的日志中没有滥用迹象2022年12月11日 — 撰写此博客2022年12月12日 — 通过电子邮件将博客草稿发送给隐私官2022年12月12日 — LHV和NHG通过电子邮件通知所有会员数据泄露

12910

在 ASP.NET Core 中构建自定义后台任务队列,无需 hangfire

在 ASP.NET Core 中构建可扩展的 Web 应用程序时,通常需要执行耗时的任务,例如发送电子邮件、数据处理或调用外部 API,而不会阻止主要的请求-响应流。..._后台_作业对于不需要阻止用户与应用程序交互的任务至关重要。例如: 电子邮件通知: 在用户操作后发送电子邮件。 长时间运行的进程: 执行数据密集型操作。...第三方 API 调用: 与外部服务的非阻塞交互。 通过将这些任务排队以在后台运行,我们可以释放服务器来处理不同的请求,从而提高应用程序的总体效率。...完整示例:在后台发送电子邮件 要在后台发送电子邮件,我们将定义一个模型 EmailRequest 来处理传入的电子邮件数据,并定义一个电子邮件服务来模拟发送电子邮件。...我们创建了一个后台服务来处理任务,并展示了一种从队列中将任务排入队列并发送电子邮件的方法。此方法可帮助您很好地处理耗时的任务,同时保持应用程序的响应性。

1.3K10
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    ASP.NET 2.0 中 Web 事件

    ASP.NET 2.0 还提供了全功能的应用程序监视和健康监视。这个系统是由一个完全可扩展事件模型和一个能将事件发送到多种接收器的事件引擎组成的。...举例来说,您可以配置您的 ASP.NET 应用程序来每天发送电子邮件,表明服务器正在运行并且包括可用内存的数量。同样,您可以创建一个链接到未处理异常的健康事件。...异常内容、请求标题以及时间和日期都可以被发送到一个错误日志记录数据库。 ASP.NET 2.0 包含了内置的事件,包括心跳、应用程序生存期事件(启动/停止/编译)和错误陷阱事件(未处理异常)。...举例来说,电子邮件提供程序可能立即为任何带有“紧急”配置文件的事件发送一个消息,但是也可能只发送带有该日“例行”配置文件事件的汇编的日常电子邮件。 • minInterval。...举例来说,您可能设置一个检测信号,每 10 分钟发送一个 WMI 事件。同样,您可以为任何未捕获的异常设置一个电子邮件警报。

    2.7K70

    使用IdentityServer出现过SameSite Cookie这个问题吗?

    坏消息是,这个新实现是浏览器决定如何向服务器发送 cookie 的重大变化。...无论您是否直接导航到该域,如果浏览器只是从该域加载资源(即图像),向其发送 POST 请求或将其中的一部分嵌入到 iframe 中。...为此,当浏览器位于您自己的域中时,它引入了同站点 cookie 的概念,而当浏览器在不同域中导航但向您的域发送请求时,它引入了跨站点 cookie 的概念。...如果您有一个单页面 Web 应用程序 (SPA),它针对托管在不同域上的身份提供者(IdP,例如 IdentityServer 4[6])进行身份验证,并且该应用程序使用所谓的静默令牌刷新,您就会受到影响...登录 IdP 时,它会为您的用户设置一个会话 cookie,该 cookie 来自 IdP 域。在身份验证流程结束时,来自不同域的应用程序会收到某种访问令牌,这些令牌通常不会很长时间。

    2.3K30

    Microsoft Exchange 漏洞暴露了大约 100,000 个 Windows 域凭据

    Exchange自动发现服务使用户能够以最少的用户输入配置 Microsoft Outlook 等应用程序,只允许使用电子邮件地址和密码的组合来检索设置其电子邮件客户端所需的其他预定义设置。...这意味着拥有 Autodiscover.com 的人将收到所有无法到达原始域的请求。”...,Guardicore 表示这是能够访问来自不同域、IP 地址和客户端的自动发现端点的请求,在 2021 年 4 月 16 日之间的四个月内,从 Outlook、移动电子邮件客户端和其他与 Microsoft...更糟糕的是,研究人员开发了一种“ol' switcheroo”攻击,包括向客户端发送请求以降级到较弱的身份验证方案(即HTTP 基本身份验证),而不是 OAuth 或 NTLM 等安全方法,提示电子邮件应用程序以明文形式发送域凭据...还建议软件供应商避免实施“回退”程序,该程序无法向上构建不可预见的域,例如“自动发现”。 “通常,攻击者会尝试通过应用各种技术(无论是技术还是社会工程)来使用户向他们发送凭据,”Serper 说。

    1.1K10

    DMARC:企业邮件信息泄漏应对之道

    新冠疫情后,远程办公进一步推动了视频会议应用程序的火热。在这种情况下,网络犯罪分子伪装成视频会议程序Zoom的官方平台,并发送虚假电子邮件以窃取登录凭据,并进一步窃取企业的大量数据。...利用DMARC防止BEC的具体步骤如下。 步骤1:实施 实际上,对抗BEC攻击的第一步是为用户的域配置DMARC。 DMARC使用SPF和DKIM认证标准来验证从所属域发送的电子邮件。...因此,DMARC需要向执行状态进行转变,隔离那些利用域所有者的恶意邮件向客户传播的电子邮件。 步骤3:监控与报告 当用户将DMARC策略设置为强制执行,是否就完全可以抵御BEC了呢?...所以,从用户域发送的邮件仍存在被冒充的风险的角度来说,这才是DMARC派得上用场的地方。 增强电子邮件安全性的其他方式 ?...在这种情况下,如果将DMARC设置为“reject”,那么常规的电子邮件将无法发送。

    1.7K11

    【愚公系列】2023年01月 Dapr分布式应用运行时-交通控制应用程序

    1.交通控制应用程序业务说明 交通控制示例应用程序模拟高速公路交通控制系统。 其用途是检测超速车辆,并向违规司机发送罚款通知。 这些系统实际上存在于现实生活中,下面是它们的工作原理。...使用光学字符识别 (OCR) 软件,从照片中提取车辆的车牌号。 系统使用每个车辆的入口和出口时间戳来计算该车辆的平均速度。...FineCollection 服务是一种 ASP.NET Core Web API 应用程序,它提供1个终结点:/collectfine。 调用此终结点将向超速车辆的司机发送罚款通知。...输出绑定 FineCollection 服务通过电子邮件将罚款信息发送给超速车辆的车主。 SMTP 的 Dapr 输出绑定使用 SMTP协议将电子邮件传输抽象化。...二、交通控制应用程序测试 1.以Dapr自托管模式运行应用程序 在自托管模式下,一切都将在本地计算机上运行。为了防止端口冲突,所有服务都侦听不同的HTTP端口。

    97830

    OAuth 2.0身份验证

    从代码/令牌交换开始发生的所有通信都通过一个安全的、预配置的后台通道发送到服务器,因此终端用户看不到,当客户机应用程序首次向OAuth服务注册时,就会建立此安全通道,此时,还会生成一个client_secret...对于授权码授予类型,用户的数据将通过安全的服务器到服务器通信进行请求和发送,而第三方攻击者通常无法直接操纵该通信。但是,通过向OAuth服务注册自己的客户机应用程序,仍然可以获得相同的结果。...例如,假设攻击者的恶意客户端应用程序最初使用openid email作用域请求访问用户的电子邮件地址。用户批准此请求后,恶意客户端应用程序将收到授权代码。...,而第三方攻击者通常无法直接操纵该通信,但是通过向OAuth服务注册自己的客户机应用程序,仍然可以获得相同的结果。...例如,假设攻击者的恶意客户端应用程序最初使用openid email作用域请求访问用户的电子邮件地址,用户批准此请求后,恶意客户端应用程序将收到授权代码,当攻击者控制其客户端应用程序时,他们可以将另一个作用域参数添加到包含其他概要文件作用域的代码

    4.8K10

    如何在Ubuntu 16.04上安装和配置Postfix作为仅发送SMTP服务器

    介绍 Postfix是一种邮件传输代理(MTA),一种用于发送和接收电子邮件的应用程序。...在本教程中,我们将安装和配置Postfix,使它仅可以用于本地应用程序发送电子邮件 - 即安装在Postfix所在的同一服务器上的电子邮件。 你为什么想这么做?...但是,如果您管理已安装需要发送电子邮件通知的应用程序的云服务器,则运行本地仅发送SMTP服务器是使用第三方电子邮件服务提供商或运行完整SMTP服务器的良好替代方案。...结论 这就是使用Postfix设置只发送电子邮件服务器所需的全部内容。您可能需要采取一些额外步骤来保护您的域免受垃圾邮件发送者的侵害。...但是,如果您的用例是向潜在的网站用户发送电子邮件(例如留言板注册的确认电子邮件),您肯定应该设置SPF记录和DKIM,以便您的服务器电子邮件更有可能被视为合法。

    4.8K00

    【ASP.NET Core 基础知识】--前端开发--使用ASP.NET Core和JavaScript进行通信

    跨域请求:由于同源策略的限制,AJAX请求通常只能向与当前页面具有相同协议、主机和端口的服务器发出。...如果需要向其他域发送AJAX请求,可能需要使用CORS(跨域资源共享)或JSONP等技术来解决跨域问题。...测试 现在,您可以运行ASP.NET Core应用程序,并访问包含AJAX请求的HTML页面。页面加载后,它将通过AJAX请求从后端API端点获取用户信息,并将其显示在页面上。...它允许服务器端代码推送内容到连接的客户端,同时也支持客户端向服务器端发送消息。...您将能够在WebSocket连接上发送和接收消息,实现一个简单的即时通讯应用程序。 这个示例演示了如何使用ASP.NET Core和WebSocket创建一个简单的即时通讯应用程序。

    2.6K00

    Burp Collaborator

    当使用 Burp Collaborator 时,Burp 向被审计的应用程序发送负载,这些负载旨在在发生某些漏洞或行为时与 Collaborator 服务器进行交互。...检测外部服务交互 一个典型的外部服务交互问题可以检测如下: Burp 向包含使用协作者域的随机子域的 URL 的应用程序发送负载,例如: param=http://f294gchg2la...r9gf.burpcollaborator.net...在大多数情况下,当发现漏洞时,协作服务器将不会收到足够的信息来识别漏洞。它没有看到从 Burp 发送到目标应用程序的 HTTP 请求。...在典型的情况下,它会记录从某处接收到的交互,包括由 Burp 生成的随机标识符。有时,Collaborator 服务器会收到一些特定于应用程序的数据:例如,通过用户注册表单生成的电子邮件内容。...这意味着,如果您使用公共 Collaborator 服务器上的电子邮件地址在网站上注册,并且该网站将攻击者控制的数据放入发送给您的电子邮件中,则攻击者可能能够通过他们自己的客户端检索该电子邮件。

    2K60

    密码学系列之:csrf跨站点请求伪造

    因为对于web浏览器来说,它们将在发送给该域的任何Web请求中自动且无形地包含给定域使用的任何cookie。...比如它可以嵌入到发送给受害者的电子邮件中的html图像标签中,当受害者打开其电子邮件时,该图像会自动加载。...CSRF攻击的防范 因为web浏览器对不同的HTTP请求处理方式是不同的,所以针对CSRF攻击的防范跟HTTP请求的方法相关。...,从cookie中读取这个token值,并将其复制到随每个事务请求发送的自定义HTTP标头中 X-Csrftoken:i8XNjC4b8KVok4uw5RftR38Wgp2BFwql 服务器验证令牌的存在和完整性...因为从恶意文件或电子邮件运行的JavaScript无法成功读取cookie值以复制到自定义标头中。

    3.5K20

    【计网不挂科】计算机网络第六章<应用层 >习题库(含答案)

    A、在向本域DNS服务器发出域名解析请求后,如果本域DNS服务器无法解析,它根据通过自学习建立并维护的一张Internet中所有DNS服务器的列表,向所有的DNS服务器发送广播询问,管辖目的服务器的DNS...将回复相应的IP地址,然后本域DNS服务器再会送客户机 B、在向本域DNS服务器发出域名解析请求后,如果本域DNS服务无法解析,它将把根域名服务器的IP地址回复客户机,由客户机直接向根域名服务器请求地址解析...C、在向本域名DNS服务器发出域名解析请求后,如果本域DNS服务器无法解析,由于本域DNS服务器对整个Internet上的主机都具有域名解析的能力,所以DNS服务器通过查表解析得到该域名所对应的IP...A、电子邮件应用程序的主要功能是创建、发送、接收和管理邮件 B、电子邮件应用程序通常使用SMTP接收,POP3发送邮件 C、电子邮件由邮件头和邮件体两部分组成 D、利用电子邮件可以传送多媒体信息...A、递归查询 B、迭代查询 C、循环查询 D、代替查询 答案: B 题号:26553 1.31 在电子邮件程序向邮件服务器中发送邮件时,使用的是简单邮件传输协议SMTP,而电子邮件程序从邮件服务器中读取邮件时

    62611

    在ASP.NET Core中创建基于Quartz.NET托管服务轻松实现作业调度

    在这篇文章中,我将介绍如何使用ASP.NET Core托管服务运行Quartz.NET作业。这样的好处是我们可以在应用程序启动和停止时很方便的来控制我们的Job的运行状态。...我还将介绍一些需要注意的问题,即在单例类中使用作用域服务。...以下来自他们的网站的描述: Quartz.NET是功能齐全的开源作业调度系统,适用于从最小型的应用程序到大型企业系统。...托管服务在ASP.NET Core应用程序启动时启动,并在应用程序生命周期内在后台运行。通过创建Quartz.NET托管服务,您可以使用标准ASP.NET Core应用程序在后台运行任务。...由于Quartz的设计,我们可以在IHostedService中直接实现它,而不是从基BackgroundService类派生更常见的方法。该服务的完整代码在下面列出,稍后我将对其进行详细描述。

    3.6K20

    .NET 高频面试题总结(高级开发、架构师)

    ,向所有从服务器发送快照文件,并在发送期间继续记录被执行的写命令; 从服务器收到快照文件后丢弃所有旧数据,载入收到的快照; 主服务器快照发送完毕后开始向从服务器发送缓冲区中的写命令; 从服务器完成对快照的载入...,开始接收命令请求,并执行来自主服务器缓冲区的写命令(从服务器初始化完成) 主服务器每执行一个写命令就会向从服务器发送相同的写命令,从服务器接收并执行收到的写命令(从服务器初始化完成后的操作) 主从复制优缺点...;访问的是资源,可以根据不同的额访问方式,做不同的事儿; 21、如何解决跨域问题?...,如果要选择性的支持跨域,可以使用ActionFilter来完成,也可以通过Cors(ASP.NET Core中提供的中间件,可以支持配置不同的跨域规则)来配置支持跨域; 22、说说你了解到的鉴权授权技术...,我都能解开,且只有我能解开; 这样就可以保证在通信传输的时候,保证信息的安全; 在传输的时候不会被泄密,因为就算在传输的过程中,密文被拦截了,也无法得到原文; 因为没有这个解密Key,有密文是无法得到原文的

    2.1K10

    【SaaS架构】构建 SaaS 产品所需的技术——第一部分

    从编程语言、框架和云平台到 nocode 应用程序构建器。此外,市场上充斥着各种提高用户期望的 SaaS 产品。 定义核心 因为竞争如此激烈,你不能不断地重新发明轮子。...您甚至可以决定不提供电子邮件注册,这样您就不必自己创建不同的登录、注册和密码重置表单。 电子邮件通知 向您的客户发送诸如订单确认之类的交易电子邮件是必不可少的。...有很多服务提供 API 以低价发送交易电子邮件。但你可能会在路上遇到一些惊喜。例如,有一次著名的电子邮件服务提供商刚刚停止为我工作,因为共享 IP 地址被大多数反垃圾邮件服务列入黑名单。...同样在这一点上,尽可能少的依赖是好的。 另一点是多租户。如果您的客户需要从其域发送电子邮件,则电子邮件服务必须支持不同的自定义域。仔细检查自定义域的定价和限制。...对于 B2C 应用程序,使用单个逻辑数据库可能更容易。特别是如果您想创建一个具有社交媒体特征的应用程序或类似约会应用程序的客户相互交互的应用程序,那么您可能会从更紧密的客户数据中受益。

    2K30

    如何在Ubuntu 14.04上使用PEPS运行自己的邮件服务器和文件存储

    如果您打算发送电子邮件mail.example.com,那也应该是您的腾讯云CVM的名称(即使您的地址是以形式user@example.com)。...接下来,让我们专注于正确设置域和证书。 第4步 - 设置域名 现在您的实例运行正常,我们仍然需要正确设置域,这涉及使用真正的SSL证书,配置DNS等。 让我们从DNS开始吧。...注意:完成PEPS配置后,如果无法从外部域发送或接收电子邮件,请仔细检查A和MX记录。如果设置不正确,您将无法从您自己以外的域发送或接收电子邮件。...首先,尝试在您域中的两个不同用户之间发送和接收电子邮件。例如,尝试从admin@example.com发送电子邮件至sammy@example.com。...现在,将电子邮件发送到您域外的帐户。如果此操作失败,则说明您的A和MX记录未正确配置。返回步骤4:设置域。不要忘记测试从您域外的用户接收电子邮件。 结论 恭喜!

    2.6K00

    shell中的幽灵:web Shell攻击调查

    近期发现某服务器配置错误,攻击者可在web服务器上的多个文件夹中部署webshell,导致服务帐户和域管理帐户被攻击。...此外,攻击者还发送了特殊电子邮件,DLL后门会将其解释为命令。 ? 这起案件是常见的web攻击之一,影响到各个部门的多个组织。...服务器中发现的jsp恶意代码如下: ? php语言编写的China Chopper变体: ? KRYPTON在一个ASP.NET页面中使用了用C#编写的web shell: ?...这些漏洞攻击很普遍,每个月微软(ATP)平均会在46000台不同的机器上检测到77000个webshell相关文件。 ?...检测与预防 由于webshell是一个多方面的威胁,企业应该从多个攻击面建立全面的防御:身份验证、终端、电子邮件和数据、应用程序和基础架构等。

    1.5K20

    .NET Web 应用程序和 API 的安全最佳实践

    ClientId 和 ClientSecret:这些是应用程序用于向提供程序进行身份验证的凭据。 ResponseType:被设置为“code”,意味着应用程序将使用授权码流程来进行身份验证。...API 作用域配置: ApiScopes 属性定义了可用的 API 作用域。在此示例中: 定义了一个名为“api1”且描述为“My API”的 API 作用域。...以下代码为一个 ASP.NET Core 应用程序配置了身份和授权,设置了用户身份验证以及基于角色的访问控制。...AddDefaultTokenProviders():添加默认的令牌提供程序,用于生成在密码重置、电子邮件确认等操作中使用的令牌。...IV 为加密过程增加了随机性,确保相同数据多次加密会产生不同的输出结果。

    2K10
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券