oauth | CN-SEC 中文网

安全文章

全网最全-OAuth 帐户接管分析

介绍OAuth 已成为确保在应用程序和服务之间安全无缝地交换用户数据的关键。随着互联生态系统的兴起和对用户友好体验的需求，OAuth 已经变得无处不在，为我们与社交媒体平台、基于云的服务和无数应用程序...

05月20日11 views评论

阅读全文

OAuth所引发的xss

OAuth所引发的xss正文正常请求示例：POST https://api.twitter.com/oauth/request_tokenContent-Type: application/x-www...

05月18日安全文章10 views评论

阅读全文

人工智能安全

MCP安全最佳实践（官方草案）

MCP安全最佳实践[1]目前处于草案状态，目前只介绍了混淆代理人问题。当一个主体（如程序、进程或用户）被赋予特定权限去执行任务时，由于对权限的误解或滥用，导致其以另一个主体的身份执行了未授权的操作。1...

05月15日7 views评论

阅读全文

安全新闻

非域环境的身份突破

0. TL;DR当你的Beacon已上线但目标是非域设备无法提取PRT时，直接使用 https://github.com/sudonoodle/BOF-entra-authcode-flow 这个 B...

05月14日82 views评论

阅读全文

安全文章

利用微软 OAuth 授权流钓鱼

前言最近安全圈又出了一起针对Microsoft 365的精准钓鱼攻击，搞得各大企业的安全团队都紧张兮兮地排查风险。这事儿比较特别，攻击者没有用传统的恶意软件或钓鱼网站，而是巧妙地滥用了Microso...

05月01日9 views已关闭评论

阅读全文

安全新闻

授权码欺骗：俄罗斯黑客利用微软 OAuth 进行钓鱼

扫码领资料获网安教程来Track安全社区投稿~ 赢千元稿费！还有保底奖励~（https://bbs.zkaq.cn）关键要点• 自2025年3月初以来，Volexity 观察到多个俄罗斯威胁行为者密...

04月27日33 views评论

阅读全文

安全新闻

网络钓鱼者滥用 Google OAuth 来欺骗 Google 进行 DKIM 重放攻击

在一次相当巧妙的攻击中，黑客利用了一个弱点，使他们能够发送一封看似来自谷歌系统的虚假电子邮件，通过所有验证，但指向一个收集登录信息的欺诈页面。攻击者利用 Google 的基础设施诱骗收件人访问看似合法...

04月24日16 views评论

阅读全文

安全新闻

在DKIM重放攻击中，钓鱼者滥用Google Oauth进行欺骗活动

在一次相当巧妙的攻击中，黑客利用了一个漏洞，得以发送一封看似来自谷歌系统的虚假电子邮件，通过了所有验证，但指向了一个用于收集登录信息的欺诈页面。攻击者利用谷歌的基础设施诱骗收件人访问一个看似合法的“支...

04月22日7 views评论

阅读全文

安全新闻

俄罗斯APT组织利用【设备码】钓鱼技术 | 绕过多因素认证

安小圈第648期APT组织 · 钓鱼俄罗斯国家支持的APT组织Storm-2372近期发起了一场复杂的网络攻击活动，利用设备码钓鱼（Device Code Phishing）技术绕过多因素认证（MFA...

04月21日23 views评论

阅读全文

安全新闻

俄罗斯APT组织利用设备码钓鱼技术绕过多因素认证

俄罗斯国家支持的APT组织Storm-2372近期发起了一场复杂的网络攻击活动，利用设备码钓鱼（Device Code Phishing）技术绕过多因素认证（MFA）安全措施。这种针对性攻击手段标志着...

04月13日20 views评论

阅读全文

安全新闻

俄罗斯 APT 黑客利用设备代码钓鱼技术绕过 MFA

导读俄罗斯APT组织 Storm-2372 利用OAuth 设备代码网络钓鱼绕过多因素身份验证 (MFA)，并渗透到政府、非政府组织和关键行业的高价值目标。自 2024 年 8 月以来，该组织已将 ...

04月10日12 views评论

阅读全文

OAuth 协议扩展-OpenID Connect的原理及安全问题

严正声明本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施，发生一切问题由相关个人承担法律责任，其与本号无关。特此声明！！！ OpenI...

03月26日安全文章24 views评论

阅读全文

全网最全-OAuth 帐户接管分析

OAuth所引发的xss

MCP安全最佳实践（官方草案）

非域环境的身份突破

利用微软 OAuth 授权流钓鱼

授权码欺骗：俄罗斯黑客利用微软 OAuth 进行钓鱼

网络钓鱼者滥用 Google OAuth 来欺骗 Google 进行 DKIM 重放攻击

在DKIM重放攻击中，钓鱼者滥用Google Oauth进行欺骗活动

俄罗斯APT组织利用【设备码】钓鱼技术 | 绕过多因素认证

俄罗斯APT组织利用设备码钓鱼技术绕过多因素认证

俄罗斯 APT 黑客利用设备代码钓鱼技术绕过 MFA

OAuth 协议扩展-OpenID Connect的原理及安全问题

在线咨询

微信