声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c...
通过 Beacon 获取 Microsoft Entra 刷新令牌
传统方法通常依赖从终端提取主刷新令牌 (PRT),这可通过信标(如使用 aad_prt_bof 或 Kozmer 的 request_aad_prt 之类的 BOF)实现。然而,当信标运行在未加入域的...
Sophos 发现基于 SVG 的网络钓鱼攻击威胁日益严重
Sophos 披露了一种创新型网络钓鱼手段:攻击者利用可缩放矢量图形(SVG)文件突破反垃圾邮件与反网络钓鱼防护机制,借此传播恶意链接实施凭证盗窃。Sophos 指出,当前电子邮件钓鱼攻击愈发猖獗,不...
$9000 赏金的漏洞
前言 国外白帽小哥在一次渗透测试时,发现目标网站使用了第三方支付服务-PayU,于是小哥开始对该支付服务进行漏洞挖掘,先后尝试了常规漏洞测试、双重消费、条件竞争等,毫无意外,均告失败。 重大发现 小哥...
【白帽狩猎日记】一个支付逻辑漏洞,怒赚 $9000 赏金
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c...
【钓鱼情报】黑产利用中文域名层层面具钓鱼诈骗
近期捕获到某黑产组织利用中文域名不易被检测的机制投递钓鱼邮件,企图诈骗的案例,一旦中招后还会自动下载恶意代码占领主机,进一步横向移动,骗取同事信任。整个过程用到了多重技术手段,包括:可信域名伪装,恶意...
混淆重定向SVG钓鱼邮件技术分析
近日,作者收集到一批恶意钓鱼邮件,大多数由html,pdf,svg的文件格式上传发送至企业邮箱中,通常情况下大多数恶意邮件都会被outlook,gmail等放入垃圾箱,但这些附件却顺利进入到了企业员工...
赏金猎人 | 利用 Web3 的隐藏攻击面:Netlify Next.js 库上进行XSS攻击
前言随着 Phantom、Metamask 和 Coinbase Wallet 等 Web3 浏览器扩展程序的推出,越来越多的看似“静态”的网站允许用户直接从浏览器与以太坊和 Solana 等区块链网...
黑客通过欺诈网络攻击投资者以窃取财务数据
更多全球网络安全资讯尽在邑安全通过欺诈性股票和加密货币计划针对印度投资者的复杂网络犯罪活动已经升级,黑客利用社会工程、虚假移动应用程序和受感染的政府网站来窃取财务数据。这些攻击利用数字投资平台的快速发...
CVE-2024-22243 Spring Web UriComponentsBuilder URL 解析不当漏洞分析
漏洞描述Spring Framework 是一个开源的 Java 应用程序框架,UriComponentsBuilder 是 Spring Web 中用于构建和操作 URI 的工具类。受影响版本中,由...
#工具# 最新Invict-v25.4
免责声明 由于传播、本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任!一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢...
乌克兰军政机构遭钓鱼攻击,Excel 宏暗藏窃密程序
乌克兰CERT-UA发现针对军事/执法机构的高级钓鱼攻击,恶意Excel文档通过启用宏触发PowerShell脚本和新型GIFTEDCROOK窃密程序。乌克兰计算机应急响应小组(CERT-UA)揭示了...