访问令牌 - 第 2 | CN-SEC 中文网

安全文章

「典型安全漏洞系列」12.OAuth 2.0身份验证漏洞攻击和防御思路

在浏览网页时，你肯定会遇到允许你使用社交媒体账户登录的网站。此功能一般是使用流行的OAuth 2.0框架构建的。在博主的上一篇文章《什么是OAuth 2.0？OAuth 2.0的工作流程是什么？与OA...

09月13日79 views评论

阅读全文

安全文章

揭秘 Cobalt Strike 的make_token命令

免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号红云谈安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会...

09月09日47 views评论

阅读全文

安全文章

[红队技巧] SeamlessPass：利用 Kerberos 票证访问Azure云

SeamlessPass，该工具利用 Microsoft 的无缝 SSO 功能，通过利用本地 Active Directory Kerberos 票证来获取 Microsoft 365 服务的访问令牌...

09月09日51 views评论

阅读全文

父进程欺骗DidierStevens(二)

获取访问令牌DEBUG权限getCurrentProcess 函数 (processthreadsapi.h) 官方文档：https://learn.microsoft.com/zh-cn/wi...

08月03日程序逆向9 views评论

阅读全文

安全新闻

【数据泄露】技术承包商在线曝光 460 万份选民和选举文件

揭秘世界最大诱捕行动揭秘 FBI 史上最大诱捕行动德国大数据经销商研究关键概述有史以来最大的数据泄露事件之一第一个黑客违规论坛数据库已在线发布！全球最受欢迎的项目管理平台涉嫌数据泄露网络犯罪分子出售企...

08月03日13 views评论

阅读全文

安全漏洞

CVE-2024-41827：JetBrains TeamCity 中过期令牌仍然有效

JetBrains TeamCity 是一个广泛使用的持续集成和持续交付 (CI/CD) 平台，现已发现包含一个高危安全漏洞 ( CVE-2024-41827 )。此漏洞允许已删除或过期的访问令牌继续...

07月26日41 views评论

阅读全文

安全新闻

GitHub 令牌泄漏， Python 核心资源库面临潜在攻击

关键词数据泄露TheHackerNews网站消息，软件供应链安全公司 JFrog 的网络安全研究人员称，他们发现了一个意外泄露的 GitHub 令牌，可授予 Python 语言 GitHub 存储库、...

07月16日17 views评论

阅读全文

安全漏洞

JetBrains 警告 GitHub 插件可能暴露访问令牌最近针对Github的攻击有点多

基于 IntelliJ 的 IDE（2023.1 及更高版本）的 JetBrains GitHub 插件中存在一个严重漏洞 (CVE-2024-37051)，该漏洞会将访问令牌暴露给 GitHub 拉...

06月20日21 views评论

阅读全文

安全文章

进攻性横向移动

横向移动是从一个受感染的宿主移动到另一个宿主的过程。渗透测试人员和红队人员通常通过执行 powershell.exe 在远程主机上运行 base64 编码命令来完成此操作，这将返回一个信标。问题在于攻...

05月18日23 views评论

阅读全文

安全文章

针对主刷新令牌和 Windows Hello 密钥的网络钓鱼

在 Microsoft Entra ID（以前称为 Azure AD，在本博客中称为“Azure AD”）中，有不同类型的 OAuth 令牌。最强大的令牌是主刷新令牌，它链接到用户的设备...

04月24日13 views评论

阅读全文

云安全

确保 API 集成安全的 5 种方法

API 集成通常处理敏感数据，例如员工的个人身份信息 (PII)、公司的财务信息，甚至客户的支付卡数据。保护这些数据免受攻击者的攻击，同时确保集成按照所需的水平执行，需要采取多种安全措施。由于越来越多...

04月22日20 views评论

阅读全文

ATT&CK - 应用程序访问令牌

应用程序访问令牌攻击者可以使用应用程序访问令牌绕过典型的身份验证过程，并访问远程系统上的受限帐户，信息或服务。这些令牌通常是从用户那里窃取的，并用来代替登录凭据。应用程序访问令牌用于代表用户发出授...

04月15日ATTACK8 views评论

阅读全文

「典型安全漏洞系列」12.OAuth 2.0身份验证漏洞攻击和防御思路

揭秘 Cobalt Strike 的make_token命令

[红队技巧] SeamlessPass：利用 Kerberos 票证访问Azure云

父进程欺骗DidierStevens(二)

【数据泄露】技术承包商在线曝光 460 万份选民和选举文件

CVE-2024-41827：JetBrains TeamCity 中过期令牌仍然有效

GitHub 令牌泄漏， Python 核心资源库面临潜在攻击

JetBrains 警告 GitHub 插件可能暴露访问令牌最近针对Github的攻击有点多

进攻性横向移动

针对主刷新令牌和 Windows Hello 密钥的网络钓鱼

确保 API 集成安全的 5 种方法

ATT&CK - 应用程序访问令牌

在线咨询

微信