2026 年 5 月，美国联邦调查局（FBI）发布安全预警，披露针对 Microsoft 365 环境的 PhaaS 平台 Kali365 正通过滥用 OAut...

OAuth 授权机制已成为 SaaS 生态身份互联的核心支撑，但用户对授权页面的习惯性点击与传统身份安全管控的盲区，催生了新型 OAuth 授权钓鱼（Conse...

以 Tycoon2FA 为代表的钓鱼即服务平台正采用基于 OAuth 2.0 设备码流程的新型钓鱼攻击，针对 Microsoft 365 账户实施高隐蔽性劫持。...

OAuth 2.0 设备授权流程因适配无输入能力的物联网设备、智能终端等场景，被微软、谷歌等主流云服务平台广泛采用，但其原生设计未充分考虑社会工程学攻击风险，成...

随着企业云身份认证与多因素认证（MFA）的广泛部署，传统凭据钓鱼攻击的成功率持续下降，网络黑产正快速转向可绕过主流防护机制的新型钓鱼范式。Proofpoint ...

2026 年 4 月微软披露的全球钓鱼攻击事件，在 72 小时内波及 26 个国家、13000 余家组织、35000 余名用户，以 OAuth 2.0 设备码授...

OAuth 2.0 设备代码流（Device Code Flow）被广泛用于智能电视、IoT 设备、会议终端等受限输入场景的身份认证，但其原生设计在社交工程面前...

随着云原生架构的普及与端点检测与响应（EDR）技术的迭代，网络攻击者的战术重心正从传统的漏洞利用向身份滥用与防御规避的深度耦合转移。本文基于2026年3月披露的...

开放授权（OAuth 2.0）协议作为现代互联网身份认证与资源访问的核心标准，广泛应用于各类云服务与第三方应用集成中。然而，其设计初衷中的重定向机制（Redir...

随着身份认证协议在现代网络架构中的普及，OAuth 2.0已成为连接各类应用与服务的关键标准。然而，其设计初衷中包含的重定向（Redirect）机制正被高级持续...

在网络安全圈，有一句老话：“最危险的漏洞不在代码里，而在人的信任中。”这句话，在2025年末再次被残酷验证。

近年来，随着企业向云办公平台（如Microsoft 365、Google Workspace）的大规模迁移，身份认证体系逐步从传统的用户名/密码模型转向基于令牌...

近年来，高级持续性威胁（APT）组织日益聚焦于利用合法身份认证协议实施隐蔽攻击。本文以安全公司Volexity披露的俄罗斯关联威胁团伙UTA0355为研究对象，...

近年来，随着基于OAuth 2.0协议的身份联合与授权机制在企业级应用中的广泛部署，攻击者逐步将目标从传统凭证窃取转向对授权流程本身的滥用。本文系统分析了以Ty...

近年来，攻击者利用Microsoft Entra ID（原Azure AD）的多租户应用注册机制，创建高度仿真的假冒OAuth应用，诱导用户在合法微软授权页面授...

Supabase 是一个开源的 Firebase 替代方案。它使用企业级的开源工具来构建 Firebase 的功能。目前在 GitHub 上斩获68.8K的 s...