开放授权（OAuth 2.0）协议作为现代互联网身份认证与资源访问的核心标准，广泛应用于各类云服务与第三方应用集成中。然而，其设计初衷中的重定向机制（Redir...

随着身份认证技术的演进，基于OAuth 2.0协议的单点登录（SSO）与授权机制已成为企业级应用与云服务交互的核心标准。然而，近期安全监测数据显示，威胁行为体正...

随着身份认证协议在现代网络架构中的普及，OAuth 2.0已成为连接各类应用与服务的关键标准。然而，其设计初衷中包含的重定向（Redirect）机制正被高级持续...

检查是否存在开放重定向（Open Redirect）漏洞，即测试重定向URI验证不足的情况。参考常见的绕过手法。

→ OAuth 2.0 只处理第二层：一旦你是仓库所有者（第一层已成立），它帮你安全地把“访问权”临时委托给第三方。

在网络安全圈，有一句老话：“最危险的漏洞不在代码里，而在人的信任中。”这句话，在2025年末再次被残酷验证。

近年来，随着企业向云办公平台（如Microsoft 365、Google Workspace）的大规模迁移，身份认证体系逐步从传统的用户名/密码模型转向基于令牌...

近年来，高级持续性威胁（APT）组织日益聚焦于利用合法身份认证协议实施隐蔽攻击。本文以安全公司Volexity披露的俄罗斯关联威胁团伙UTA0355为研究对象，...

近年来，随着基于OAuth 2.0协议的身份联合与授权机制在企业级应用中的广泛部署，攻击者逐步将目标从传统凭证窃取转向对授权流程本身的滥用。本文系统分析了以Ty...

近年来，攻击者利用Microsoft Entra ID（原Azure AD）的多租户应用注册机制，创建高度仿真的假冒OAuth应用，诱导用户在合法微软授权页面授...

多因素认证（Multi-Factor Authentication, MFA）长期被视为抵御凭证窃取的关键防线。然而，近期多起安全事件表明，攻击者正通过滥用Mi...

OAuth和MIT协议属于完全不同的技术领域，没有任何直接关联，这是两个完全不同的概念，混淆它们就像混淆"交通规则"和"汽车制造标准"一样。：

这篇文章延续了之前关于OAuth隐式流认证绕过的讨论：https://medium.com/@0x1h3r/authentication-bypass-via-...

“您正在尝试登录 Microsoft 365，请确认是否授权此应用访问您的邮箱、日历和联系人？”——当你在办公电脑上看到这样一个弹窗时，你会怎么做？

OAuth 代表开放授权协议。这允许通过在 HTTP 服务上启用客户端应用（例如第三方提供商 Facebook，GitHub等）来访问资源所有者的资源。因此，你...

"产品经理，能不能让我们的AI助手处理视频和音频？现在只能聊文字，用户觉得太单调了。"

欢迎阅读第16期年度十大Web黑客技术盘点，这是由社区驱动的年度盛事，旨在评选过去一年发布的最重要、最具创新性的Web安全研究成果。今年我们收到了破纪录的46项...

2025年7月23日，开源智能平台dify发布了1.7.0大版本更新，此次更新不仅带来了功能上的重大突破，还在性能优化、用户体验、安全机制等多个方面进行了完善。...