首页
学习
活动
专区
圈层
工具
发布

#oauth

微软 OAuth 设备授权流程滥用钓鱼攻击链路与身份防御机制研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

摘要:传统域名识别类反钓鱼手段依托站点域名合法性判断风险,难以抵御攻击者滥用厂商原生身份认证协议的新型钓鱼攻击。2026 年 4—5 月卡巴斯基实验室监测并披露...

1300

基于 OAuth2.0 设备授权流的微软账户钓鱼攻击机理与全域防御体系研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

请求携带固定授权类型参数grant_type=urn:ietf:params:oauth:grant-type:device_code,服务器分三类返回结果:

8410

Artoken 套件 OAuth 令牌劫持 M365 钓鱼攻击与闭环防御研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

思科 Talos 安全实验室披露的 Artoken 钓鱼套件是面向 Microsoft 365 生态的产业化钓鱼即服务工具,该工具滥用 OAuth 2.0 设备...

14010

OAuth 设备代码钓鱼产业化攻击机理与全域闭环防御体系研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

客户端向login.microsoftonline.com/oauth2/v2.0/devicecode发起 POST 请求,传入客户端 ID、所需资源权限范围...

16910

GitCode OAuth 登录踩坑实录:那些藏在 HTTP 头里的中文幽灵

佛系豪豪吖

前两天给微信机器人控制台加了个 GitCode 第三方登录。OAuth 2.0 嘛,写过不知道多少遍了,本以为半小时搞定的事。

10010

WordPress 集成 GitCode OAuth 2.0 登录:从零打造第三方账号认证插件

佛系豪豪吖

你的 WordPress 博客只有原生注册登录,用户需要单独注册一个账号,流失率高、体验差。如果能用 GitCode 账号一键登录,注册门槛直接归零。

12300

OAuth2.0 协议授权链路漏洞:设备码钓鱼、令牌滥用与重定向攻击治理研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

OAuth2.0 作为跨平台第三方授权标准,广泛应用于企业云协作、SaaS 系统、IoT 设备身份校验场景,依托授权码、设备码、隐式授权等流程实现无密码资源访问...

27610

Kali365 驱动下 Microsoft365 OAuth 钓鱼攻击机理与全链路防御技术研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

针对Money.com刊发 FBI 预警的 Kali365 产业化钓鱼攻击事件,本文以 2026 年全球 Microsoft365 规模化 OAuth 劫持钓鱼...

19610

Kali365 OAuth 钓鱼攻击机理与 M365 全场景闭环防御技术研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

摘要:本文以 Memeburn 刊发 FBI 针对 Kali365 攻击预警报道为核心研究素材,围绕该 PhaaS 工具依托 OAuth2.0 设备码流劫持、在...

25010

OAuth 设备码流滥用下 Microsoft 365 钓鱼攻击机理与防御研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

2026 年 5 月,美国联邦调查局(FBI)发布紧急安全预警,披露以 Kali365 为代表的钓鱼即服务(PhaaS)平台正通过滥用 OAuth 2.0 设备...

18710

基于 OAuth 2.0 设备码流滥用的 Kali365 钓鱼攻击机理与防御体系研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

2026 年 4 月曝光的 Kali365 钓鱼工具以订阅化服务形式面向黑产提供开箱即用的 Microsoft 365 账户劫持能力,其核心技术路径是滥用 OA...

21210

Kali365 钓鱼工具对 Microsoft OAuth 令牌劫持机理与防御研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

2026 年 5 月,FBI 发布安全公告,警示新型钓鱼即服务工具 Kali365 通过 Telegram 传播,大幅降低攻击门槛,使低技术攻击者可借助 AI ...

21410

基于 OAuth 设备码流滥用的 Kali365 钓鱼攻击机理与防御体系研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

2026 年 5 月,美国联邦调查局(FBI)发布安全预警,披露针对 Microsoft 365 环境的 PhaaS 平台 Kali365 正通过滥用 OAut...

26610

OAuth 授权钓鱼攻击机理、MFA 失效机制与防御体系研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

OAuth 授权机制已成为 SaaS 生态身份互联的核心支撑,但用户对授权页面的习惯性点击与传统身份安全管控的盲区,催生了新型 OAuth 授权钓鱼(Conse...

23110

Tycoon2FA 利用 OAuth 设备码钓鱼劫持 Microsoft 365 账户的机理与防御

芦笛

中国互联网络信息中心 | 工程师 (已认证)

以 Tycoon2FA 为代表的钓鱼即服务平台正采用基于 OAuth 2.0 设备码流程的新型钓鱼攻击,针对 Microsoft 365 账户实施高隐蔽性劫持。...

21810

OAuth 2.0 设备码流程滥用与 Tycoon2FA 钓鱼攻击防御研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

OAuth 2.0 设备授权流程因适配无输入能力的物联网设备、智能终端等场景,被微软、谷歌等主流云服务平台广泛采用,但其原生设计未充分考虑社会工程学攻击风险,成...

26510
领券