首页
学习
活动
专区
圈层
工具
发布
首页标签oauth2.0

#oauth2.0

从微软OAuth漏洞看现代网络钓鱼的进化与防御

芦笛

中国互联网络信息中心 | 工程师 (已认证)

在数字化办公日益普及的今天,我们对于“官方”域名的信任几乎是一种本能。然而,当钓鱼页面的地址栏赫然显示着“microsoft.com”时,你是否还会警惕?202...

600

微软 365 条件访问策略错配引发 OAuth 授权链路攻击及闭环防护研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

针对 2026 年 Huntress 安全实验室披露的两起大规模云身份入侵事件 —— 基于 Railway 平台的设备码钓鱼攻击、LSHIY 发起的 ROPC ...

5210

微软 OAuth 设备授权流程滥用钓鱼攻击链路与身份防御机制研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

摘要:传统域名识别类反钓鱼手段依托站点域名合法性判断风险,难以抵御攻击者滥用厂商原生身份认证协议的新型钓鱼攻击。2026 年 4—5 月卡巴斯基实验室监测并披露...

15510

基于 OAuth2.0 设备授权流的微软账户钓鱼攻击机理与全域防御体系研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

传统网络钓鱼攻击多依托仿冒域名窃取账户凭证,防御手段以域名校验、密码拦截、多因素认证为主。2026 年多起真实攻击事件显示,攻击者滥用 OAuth2.0 设备授...

16310

Artoken 套件 OAuth 令牌劫持 M365 钓鱼攻击与闭环防御研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

思科 Talos 安全实验室披露的 Artoken 钓鱼套件是面向 Microsoft 365 生态的产业化钓鱼即服务工具,该工具滥用 OAuth 2.0 设备...

19610

OAuth 设备代码钓鱼产业化攻击机理与全域闭环防御体系研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

多因素认证(MFA)普及压缩传统密码钓鱼生存空间,黑产转向滥用 OAuth 2.0 设备授权协议开展设备代码钓鱼攻击。KnowBe4 2026 年 6 月行业报...

19910

OAuth2.0 协议授权链路漏洞:设备码钓鱼、令牌滥用与重定向攻击治理研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

OAuth2.0 作为跨平台第三方授权标准,广泛应用于企业云协作、SaaS 系统、IoT 设备身份校验场景,依托授权码、设备码、隐式授权等流程实现无密码资源访问...

32210

基于OAuth协议的企业级准入方案:开启网络管理自动化新时代

星融元Asterfusion

针对上述挑战,将 OAuth 开放授权协议引入园区网准入认证,正成为越来越多企业优化网络管理的新思路。

9300

Kali365 驱动下 Microsoft365 OAuth 钓鱼攻击机理与全链路防御技术研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

针对Money.com刊发 FBI 预警的 Kali365 产业化钓鱼攻击事件,本文以 2026 年全球 Microsoft365 规模化 OAuth 劫持钓鱼...

19810

Kali365 OAuth 钓鱼攻击机理与 M365 全场景闭环防御技术研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

摘要:本文以 Memeburn 刊发 FBI 针对 Kali365 攻击预警报道为核心研究素材,围绕该 PhaaS 工具依托 OAuth2.0 设备码流劫持、在...

26310

OAuth 设备码流滥用下 Microsoft 365 钓鱼攻击机理与防御研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

2026 年 5 月,美国联邦调查局(FBI)发布紧急安全预警,披露以 Kali365 为代表的钓鱼即服务(PhaaS)平台正通过滥用 OAuth 2.0 设备...

20010

基于 OAuth 2.0 设备码流滥用的 Kali365 钓鱼攻击机理与防御体系研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

2026 年 4 月曝光的 Kali365 钓鱼工具以订阅化服务形式面向黑产提供开箱即用的 Microsoft 365 账户劫持能力,其核心技术路径是滥用 OA...

22710

Kali365 钓鱼工具对 Microsoft OAuth 令牌劫持机理与防御研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

2026 年 5 月,FBI 发布安全公告,警示新型钓鱼即服务工具 Kali365 通过 Telegram 传播,大幅降低攻击门槛,使低技术攻击者可借助 AI ...

21710

基于 OAuth 设备码流滥用的 Kali365 钓鱼攻击机理与防御体系研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

2026 年 5 月,美国联邦调查局(FBI)发布安全预警,披露针对 Microsoft 365 环境的 PhaaS 平台 Kali365 正通过滥用 OAut...

27510

OAuth 授权钓鱼攻击机理、MFA 失效机制与防御体系研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

OAuth 授权机制已成为 SaaS 生态身份互联的核心支撑,但用户对授权页面的习惯性点击与传统身份安全管控的盲区,催生了新型 OAuth 授权钓鱼(Conse...

23710

Tycoon2FA 利用 OAuth 设备码钓鱼劫持 Microsoft 365 账户的机理与防御

芦笛

中国互联网络信息中心 | 工程师 (已认证)

以 Tycoon2FA 为代表的钓鱼即服务平台正采用基于 OAuth 2.0 设备码流程的新型钓鱼攻击,针对 Microsoft 365 账户实施高隐蔽性劫持。...

23210

OAuth 2.0 设备码流程滥用与 Tycoon2FA 钓鱼攻击防御研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

OAuth 2.0 设备授权流程因适配无输入能力的物联网设备、智能终端等场景,被微软、谷歌等主流云服务平台广泛采用,但其原生设计未充分考虑社会工程学攻击风险,成...

27910

设备码钓鱼产业化扩散与 OAuth 身份认证劫持威胁研究

芦笛

中国互联网络信息中心 | 工程师 (已认证)

随着企业云身份认证与多因素认证(MFA)的广泛部署,传统凭据钓鱼攻击的成功率持续下降,网络黑产正快速转向可绕过主流防护机制的新型钓鱼范式。Proofpoint ...

19510

OAuth 2.0 设备码钓鱼攻击机理与防御体系研究 —— 基于微软 3.5 万用户钓鱼事件实证分析

芦笛

中国互联网络信息中心 | 工程师 (已认证)

2026 年 4 月微软披露的全球钓鱼攻击事件,在 72 小时内波及 26 个国家、13000 余家组织、35000 余名用户,以 OAuth 2.0 设备码授...

22810
领券