Juniper ScreenOS 绕过身份验证的后门

Juniper防火墙产品运行的系统ScreenOS上周爆出了两个后门,一个后门与椭圆曲线伪随机数生成器有关,允许攻击者解密VPN流量;第二个后门允许攻击者绕过 SSH和Telnet 的身份验证。该后门密码是“is <<< %s”(un='%s') = %u,它没有在旧的版本中发现,只影响ScreenOS 6.3.0r17和6.3.0r19,根据受影响版本发布的时间,后门密码最早是在2013年加入的。Juniper 提供了在日志中发现攻击者利用后门密码登录的方法。

====================================分割线================================
文章转载自 开源中国社区[http://www.oschina.net]

时间: 2024-10-21 23:40:06

Juniper ScreenOS 绕过身份验证的后门的相关文章

富可视投影仪曝身份验证绕过漏洞,可获取WiFi密码

业界数一数二的投影仪品牌富可视IN3128型号投影仪固件近日曝出身份验证绕过漏洞.由于该投影仪可连接WiFi(用于无线投影),攻击者可以利用该漏洞攻击投影仪所在的网络. 漏洞原理 富可视IN3128型号投影仪通常应用于学校的多媒体教室. 通常来说,富可视IN3128HD投影仪管理控制台需要管理员密码才能访问其配置界面,但是受身份验证绕过漏洞(CVE-2014-8383)的影响,攻击者只需猜测用户成功登录之后跳转的页面(main.html)就能修改投影仪的任何配置参数,这意味着只需要使用正确的UR

使用DataPower和HTML基于表单的登录实现轻松的前端身份验证

这个由多期文章组成的新的专栏的第一期文章将会详细探讨此功能,提供 HTML 基于 表单的登录如何部署在 DataPower 中来保护您的 Web 应用程序的实用示例.征服复杂性专栏的每一期文章都会解决一个与安全性相关的常见问题,该问题可使用 IBM WebSphere DataPower Appliances 和其他 IBM 技术解决或简化. 简介 HTML 基于表单的登录身份验证经常可在互联网上看到.一个网站显示一个 HTML 表单,供浏览器用户提供凭据(比如用户名和密码),然后这些凭据可用于

全球首个身份验证保险 提供每笔交易100万美金保额

网络保险不便宜,而且公司被黑也未必会理赔. 位于美国亚利桑那州斯科茨代尔市的Trusona公司,自称为全球首个被投保的身份验证平台,投保Trutoken用户的身份和交易,最高保额达100万美元. 之前有媒体曾报道过Trusona的加密狗的方案--"100%准确身份验证".该方案主要针对需要大笔转账的银行客户,或者手握重要数据访问权的公司高管. 将Trutoken插入智能手机,就能判断信用卡.驾照或其他任何类型的身份标识卡是否合法,是否被其真正拥有者所刷.Trutoken的判断基于两个方

窃取 OAuth 令牌绕过 Airbnb 身份验证

本文讲的是窃取 OAuth 令牌绕过 Airbnb 身份验证,登录过程中的CSRF与Airbnb的OAuth登录流程中的基于HTTP Referer头的开放重定向跳转漏洞相结合,可能会被用来窃取所有的Airbnb身份提供商的OAuth访问令牌,并最终确定Airbnb网站和移动应用程序的受害者.这种攻击并不依赖于特定的OAuth身份提供程序的应用程序配置缺陷(例如白名单redirect_uri 的URL中的通配符),这对所有的Airbnb的身份提供者(包括Facebook和Google)都是通用的

Openstack Keystone身份验证模块出现安全绕过漏洞CVE-2017-2673 已经出现漏洞利用工具

开源平台Openstack的身份验证模块Keystone出现 安全绕过漏洞 ,黑客如果成功利用漏洞,可能绕过某些预期的安全限制,并执行未经授权的操作,并发动进一步的攻击. 影响范围 OpenStack Kesytone 10.0.0, 10.0.1 and 11.0.0 均受影响,其它版本也可能受影响.目前漏洞利用工具已经开始流传. Keystone是什么 Keystone(OpenStack Identity Service)是 OpenStack 框架中负责管理身份验证.服务规则和服务令牌功

SQL Server 2012 身份验证(Authentication)_MsSql

在保密你的服务器和数据,防备当前复杂的攻击,SQL Server有你需要的一切.但在你能有效使用这些安全功能前,你需要理解你面对的威胁和一些基本的安全概念.这篇文章提供了基础,因此你可以对SQL Server里的安全功能充分利用,不用在面对特定威胁,不能保护你数据的功能上浪费时间. 身份验证是验证主体(需要访问SQL Server数据库的用户或进程,是声称是的人或物)的过程.主体需要唯一的身份,这样的话SQL Server可以决定主体有哪个许可.在提供安全访问数据库对象中,正确的身份验证是必须的

SQL Server 2012 身份验证(Authentication)

在保密你的服务器和数据,防备当前复杂的攻击,SQL Server有你需要的一切.但在你能有效使用这些安全功能前,你需要理解你面对的威胁和一些基本的安全概念.这篇文章提供了基础,因此你可以对SQL Server里的安全功能充分利用,不用在面对特定威胁,不能保护你数据的功能上浪费时间. 身份验证是验证主体(需要访问SQL Server数据库的用户或进程,是声称是的人或物)的过程.主体需要唯一的身份,这样的话SQL Server可以决定主体有哪个许可.在提供安全访问数据库对象中,正确的身份验证是必须的

如何通过SQL Server2000使用Forms 身份验证

  摘要 ASP.NET Forms 身份验证允许用户将凭据(用户名和密码)输入到 Web Form 来标识其身份.在收到这些凭据时,Web 应用程序可以根据数据源来检查这些凭据,从而对用户进行身份验证. 本模块描述如何使用密码哈希安全地将用户凭据存储在 SQL Server 中,以及如何根据包含在 SQL Server 中的帐户数据库对用户进行身份验证. 预备知识 安全地存储用户凭据包含两个关键概念: • 存储密码摘要.出于安全性考虑,请不要将密码明文存储在数据库中.本模块描述如何创建和存储用

ASP.NET七大身份验证方式及解决方案

在B/S系统开发中,经常需要使用"身份验证".因为web应用程序非常特殊,和传统的C/S程序不同,默认情况下(不采用任何身份验证方式和权限控制手段),当你的程序在互联网/局域网上公开后,任何人都能够访问你的web应用程序的资源,这样很难保障应用程序安全性.通俗点来说:对于大多数的内部系统.业务支撑平台等而言,用户必须登录,否则无法访问和操作任何页面.而对于互联网(网站)而言,又有些差异,因为通常网站的大部分页面和信息都是对外公开的,只有涉及到注册用户个人信息的操作,或者网站的后台管理等