Kerberos协议是一个专注于验证通信双方身份的网络协议，不同于其他网络安全协议的保证整个通信过程的传输安全，Kerberos侧重于通信前双方身份的认定工作，帮助客户端以及服务端验证是真正的自己并非他人，从而使得通信两端能够完全信任对方的身份，在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议，其设计目标是通过密钥系统为网络中通信的客户机(Cl

JumpServer是一款开源的堡垒机和权限管理系统，旨在帮助企业实现对服务器和网络设备的安全管理和访问控制。JumpServer的权限管理存在缺陷，未经授权的远程攻击者可以下载历史会话连接期间的所有操作日志。经过分析和研判，该漏洞利用难度低，可导致敏感信息泄漏。

PowerJob是一个开源分布式计算和作业调度框架，它允许开发人员在自己的应用程序中轻松调度任务。PowerJob V4.3.1版本存在安全漏洞，该漏洞源于存在不正确访问控制。受影响版本中由于 JobController#listJobs 方法未对用户身份进行校验，攻击者可通过向 /job/list 接口发送POST请求，指定 appId 参数即可列出对应的正在运行的任务列表以及它们的状态信息。

Metabase是美国Metabase公司的一个开源数据分析平台。Metabase是一个开源的数据分析和可视化工具，它可以帮助用户轻松地连接到各种数据源，包括数据库、云服务和API，然后使用直观的界面进行数据查询、分析和可视化。Metabase 0.46.6.1之前版本和Metabase Enterprise 1.46.6.1之前版本存在安全漏洞，该漏洞源于允许攻击者以服务器的权限级别在服务器上执

Metabase是美国Metabase公司的一个开源数据分析平台。Metabase是一个开源的数据分析和可视化工具，它可以帮助用户轻松地连接到各种数据源，包括数据库、云服务和API，然后使用直观的界面进行数据查询、分析和可视化。Metabase 0.46.6.1之前版本和Metabase Enterprise 1.46.6.1之前版本存在安全漏洞，该漏洞源于允许攻击者以服务器的权限级别在服务器上执

CobaltStrike上线Linux主机(CrossC2)在红蓝对抗中,常见使用远控方式是CS对Windows的远程控制,那么CS能否对Linux主机进行长期远控呢！CrossC2插件是为企业和红队人员提供的安全框架,支持CobaltStrike对其他系统平台的渗透测试(Windows、Linux、MacOS)，支持自定义模块，并包括一些常常用到的渗透测试模块。CrossC2插件项目地址：htt

内网穿透(NAT穿透)是一种技术，它允许通过公网访问内网的设备和服务。在许多情况下，设备和服务可能位于一个局域网内，这些设备和服务只能在局域网中访问。如果想从外部网络访问这些设备和服务，需要一种方法来穿透网络的边界，让公网可以访问您的内网设备和服务。内网穿透技术可以实现这一点。通过在公网上搭建服务器，然后将内网设备和服务通过一个安全的隧道连接到这个服务器上，从而实现公网访问。NPS是一款轻量级、高

OpenSSH 是 SSH(Secure SHell)协议的免费开源实现。SSH协议族可以用来进行远程控制， 或在计算机之间传送文件。而实现此功能的传统方式，如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的，并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具，用来加密远程控制和文件传输过程中的数据，并由此来代替原来的类似服务。一个存在于O

本文章主要对VMware ESXI、VMware VCenter系列进行漏洞整理，更多内容后续补充!

Fortify全名叫Fortify SCA ，是惠普公司HP的出品的一款源代码安全测试工具，这家公司也出品过另一款Web漏洞扫描器，叫做 Webinspect。美国的Fortify、Coverity、Codesecure、IBM AppScan Source 以色列的Checkmarx、加拿大的Klockwork是现在国际上比较出名的几款代码审计工具，那么接下来就Fortify来介绍一下使用方法。