声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。博客新域名:https://gugesay...
04月19日1 views评论xss
重定向
如何将DOM XSS升级为一键帐户接管(上集)
04月19日1 views评论xss
重定向
04月19日1 views评论xss
重定向
ATT&CK - 应用程序访问令牌
应用程序访问令牌 攻击者可以使用应用程序访问令牌绕过典型的身份验证过程,并访问远程系统上的受限帐户,信息或服务。这些令牌通常是从用户那里窃取的,并用来代替登录凭据。 应用程序访问令牌用于代表用户发出授...
04月15日ATTACK1 views评论action
oauth
ATT&CK - 盗取应用程序访问令牌
盗取应用程序访问令牌 攻击者可以窃取用户应用程序访问令牌,作为获取凭据以访问远程系统和资源的一种方式。这可以通过社会工程学发生,通常需要用户采取行动才能授予访问权限。 应用程序访问令牌用于代表用户发出...
04月15日ATTACK1 views评论azure
oauth
ATT&CK -
URL Scheme 劫持 iOS 应用程序可能能够恶意声明一个 URL Scheme,允许它拦截针对不同应用程序的调用。例如,该技术可用于获取 中描述的 OAuth 授权代码,或用于如 中所述的网络...
04月15日ATTACK0 views评论oauth
scheme
ATT&CK -
Android Intent 劫持 可以注册恶意应用程序以接收针对其他应用程序的 Intent,然后可以接收敏感值,如 中描述的 OAuth 授权代码。 缓解 缓解 描述 应用程序审查 在审查应用程序...
04月15日ATTACK2 views评论intent
oauth
恶意插件警报:ChatGPT用户或面临帐户劫持风险
关键词ChatGPT网络安全研究人员发现,可用于 OpenAI ChatGPT 的第三方插件可能会成为希望未经授权访问敏感数据的威胁行为者的新攻击面。根据 Salt Labs 发表的新研究,直接在 C...
03月19日3 views评论chatgpt
gpt
开源噩梦:GitHub一年泄露上千万密钥
据GitGuardian的最新报告,2023年GitHub平台上发生了大规模的敏感信息泄露事件,超过300万个公开代码库累计泄漏超过1280万个身份验证和敏感密钥,其中绝大部分信息在泄露后5天内仍保持...
03月14日10 views评论oauth
密钥
俄罗斯黑客窃取了微软源代码进入内部系统
微软确认俄罗斯黑客窃取了源代码和一些客户机密:微软周五透露,克里姆林宫支持的威胁行为者midnight blizzard(又名 APT29 或 Cozy Bear)成功访问了其部分源代码。微软证实,俄...
03月13日3 views评论microsoft
黑客组织
Session 攻击大杀器: Sessionless
关注本公众号,长期推送技术文章! Session 攻击大杀器: Sessionless Sessionless是一个Burp Suite的扩展,用于编辑、签名、验证和攻击已签名的令牌: Django ...
02月17日18 views评论oauth
令牌
SaaS攻击面到底有多大?如何防御常见SaaS攻击技术?
左右滑动查看更多近期,备受瞩目的Circle CI、Okta和Slack SaaS供应链漏洞反映了攻击者瞄准企业SaaS工具以渗透其客户环境的趋势。对于安全团队来说,这种趋势令人担忧。然而,更糟糕的是...
02月16日12 views评论供应链
攻击面
CVE-2023-4966复现
本月,Citrix 发布了一份安全公告,其中提到了unauthenticated buffer-related vulnerabilities “未经身份验证的缓冲区相关漏洞”和两个 CVE。这些问题...
02月16日43 views评论缓冲区
身份验证
Citrix滴血:CVE-2023-4966 泄漏Citrix会话Token
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。文章首发于个人博客:https://myb...
02月15日安全漏洞8 views评论缓冲区
身份验证