mfa | CN-SEC 中文网

安全文章

从侦察到利用EWS错误配置绕过OWA中的MFA实施

这个故事讲述了我如何最终通过使用 EWS 错误配置来访问电子邮件收件箱并（有能力）转储全局地址列表，从而使用未注册 MFA 的 AD 帐户。和往常一样，我会尝试用两种不同的方式来发布这篇文章，它们是：...

3小时前4 views评论

阅读全文

安全新闻

俄罗斯 APT 黑客利用设备代码钓鱼技术绕过 MFA

导读俄罗斯APT组织 Storm-2372 利用OAuth 设备代码网络钓鱼绕过多因素身份验证 (MFA)，并渗透到政府、非政府组织和关键行业的高价值目标。自 2024 年 8 月以来，该组织已将 ...

04月10日5 views评论

阅读全文

安全新闻

英国软件公司因勒索致数据泄露被罚款2800万

英国软件和 IT 服务提供商 Advanced Computer Software Group 因 2022 年勒索软件攻击导致的数据泄露而被英国信息专员办公室 (ICO) 罚款 300 万英镑（38...

03月30日15 views评论

阅读全文

安全漏洞

CVE-2025-0693：AWS IAM 用户枚举

用户名枚举漏洞可让攻击者识别有效用户，这是许多攻击的第一步。在最近的一次渗透测试中，我们在 AWS Web 控制台中发现了两个用户名枚举漏洞。这些漏洞很有趣，因为它们位于共享责任模型的 AWS 端。我...

03月27日29 views评论

阅读全文

安全工具

phisherman：钓鱼和 MFA 绕过技术

用户帐户创建和合法 MFA 注册（使用移动身份验证器）。模拟敏感数据显示（姓/名、信用卡信息、SSN）。两个后端功能：真实后端：实现标准 MFA 流程，允许用户注册到应用程序。虚假后端：通过网络...

03月12日17 views评论

阅读全文

信息情报

从最近国内多起疑似数据勒索事件对照等保标准要求研读美国执法机构发布的勒索软件防范网络安全公告

有些自媒体喜欢设置非常长的文章标题，笔者也试一下。最近多方信源显示，进入2025年以来，国内疑似发生多起境外勒索软件组织实施的数据勒索事件，据称的受害者不乏有高科技企业甚至是网络安全相关企业。而也是在...

03月05日20 views评论

阅读全文

安全新闻

Lapsus$黑客组织入侵事件带来的安全启示

文｜腾讯安全朱雀实验室 VK最近安全圈最火的话题，没有之一，那就是微软被黑客攻击并有250多个项目共37G的源代码泄露，涉及项目包括Bing搜索、Bing地图和Cortana语音助手等。作为攻防老兵，...

02月24日54 views评论

阅读全文

安全文章

LAPSUS$安全攻击的胡乱分析

写在前面的话我也不是专业的自媒体作者，也不想通过写这些文字去谋求什么，就是把经历和想法记录下来，各位觉得好看就点个赞，觉得不好看就删除。事件概述Lapsus$ 应该是最近新出现的黑客组织。黑客组织于去...

02月24日6 views评论

阅读全文

网络安全纵深防御框架

安全团队可以参考以下“纵深防御”框架，在短期内制定针对BeyondTrust漏洞的应对计划，同时在长期内构建以预防为重点的、全面有效的网络态势。补丁管理和漏洞修复：立即行动：确保所有第三方软件和工具定...

02月17日安全闲碎17 views评论

阅读全文

安全新闻

黑客欺骗Microsoft ADFS登录页面以窃取凭据

服务台网络钓鱼活动主要针对Microsoft Active Directory Federation Services（ADFS），使用欺骗性的登录页面来窃取凭据和绕过多因素身份验证（MFA）保护措施...

02月13日22 views评论

阅读全文

安全文章

使用 Evilginx 轻松绕过 MFA

什么是 Evilginx？ Evilginx 是一种高级网络钓鱼框架，充当中间人（MITM）代理。它拦截和代理受害者与合法网站之间的通信，使其能够：捕获用户名和密码。提取会话 Cookie 以...

02月11日74 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/1/20】

2025-01-20 微信公众号精选安全技术文章总览洞见网安 2025-01-20 0x1 常见几种网络协议分析泷羽sec-何生安全 2025-01-20 22:38:45 本文对几种常见的网络协议进...

01月21日13 views评论

阅读全文

在线咨询

微信