最近观察到的 3 种 OAuth 攻击技术及其 Entra ID 日志检测方法
OAuth 令牌、JWT 字段和 Entra 登录日志如何揭示攻击者行为,以及如何将这些信号转化为可靠的检测。攻击者不只是通过入侵,他们可能是正常登录进来的。凭证泄露仍然是最常见的入侵路径,但随着组织
阅读全文OAuth 令牌、JWT 字段和 Entra 登录日志如何揭示攻击者行为,以及如何将这些信号转化为可靠的检测。攻击者不只是通过入侵,他们可能是正常登录进来的。凭证泄露仍然是最常见的入侵路径,但随着组织
阅读全文近期,Portswigger 团队推出了 Burp MCP,通过一条提示指令即可实现动态安全评估的自动化。MCP 技术正在迅速兴起,令人振奋。我们已在静态应用安全测试 (SAST) 领域实现了大量自动
阅读全文二进制分析和恶意软件检测长期以来一直是高度专业化安全研究人员的领域,这些研究人员掌握着深厚的汇编语言知识和无尽的耐心。传统的恶意软件分析要求分析师手动逆向工程可疑文件,逐行比较汇编代码,花费数小时识别
阅读全文引言在 Censys 平台上进行常规开放目录威胁狩猎时,我们发现了一个威胁行为者暴露的 Sliver C2 数据库和日志等信息。通过分析这些数据库、日志及相关基础设施,我们确认该威胁行为者成功利用了多
阅读全文"威胁行为者正变得越来越先进、越来越复杂,并且不断改变其攻击策略。"这是当前公众对恶意网络攻击激增现象的普遍看法。公开的安全报告往往让威胁行为者显得组织严密,似乎他们的攻击行动如同剧本般顺畅有序,从不
阅读全文前段时间,我读到一篇博客,详细讲解了 PaperShell agent 的创建过程,于是立刻萌生了自己写一个自定义 C2 agent 的想法。https://teletype.in/@magnumma
阅读全文女士们先生们,我叫 Parsia,我来这里提出并回答一个简单的问题:什么是 AI-Native SAST?(缅怀 TotalBiscuit。)剧透:就是 SAST+AI。但这并不意味着它没用。恰恰相反
阅读全文简介在 Windows 中,Living off the land (LotL) 指借助系统内置工具来执行攻击、建立持久化并规避检测。本速查表为红队人员与渗透测试人员汇总了 100 条 Windows
阅读全文List-UnsubscribeSMTP 头部已标准化,但在安全评估中常被忽视。它允许邮件客户端为终端用户提供便捷的邮件列表退订功能。本文讨论在某些场景下,该头部如何被滥用来实施跨站脚本(XSS)与服
阅读全文核心要点在 Eurostar 的公开 AI 聊天机器人中发现了 4 个问题:防护栏绕过、未校验的对话与消息 ID、可泄露系统提示词的提示注入,以及会导致自我 XSS 的 HTML 注入。用户界面看起来
阅读全文大家好!这篇文章将分享我们在一次 Red Team 演练中的一项工作:我们发现了一个内核驱动漏洞,并为其开发了一个 exploit。借助该 exploit,我们禁用了 Local Security A
阅读全文对一项严重级别漏洞的全面分析与评估,其被大规模利用的可能性较低重访 CVE-2025-50165:Windows Imaging Component 的关键缺陷ESET 研究人员对 CVE‑2025‑
阅读全文有时你需要分发任意内容 (无论是文件、二进制、图片或其他内容),同时还要能用同样“任意”的条件来限制访问。用 Apache 服务器配合 mod_rewrite规则当然能做到;但你也可以用 CloudF
阅读全文Dirty Vanity 是一种新的代码注入(code injection)技术,它滥用 Windows 操作系统中一个不太为人所知的机制:forking。本文将深入讲解 forking,介绍其合法用
阅读全文执行摘要Unit 42 研究人员提出了一套新的检测方法,可提升对新一代 Kerberos 攻击的发现能力。这类攻击允许攻击者通过修改 Kerberos 票据来维持特权访问。其中最广为人知的是 Gold
阅读全文前言有一次,我的朋友 Athanasios Tserpelis(又名 trickster0) 打电话给我,手上正碰到一个很棘手的问题:我在用 TpAllocWork + TpPostWork 执行一个
阅读全文mcp-remote 中的一个严重漏洞影响了 558,846 次下载。缺陷出在客户端,但攻击利用了 OAuth 的动态发现机制——这是一种对自治 Agent 并不成立的信任假设。2025 年末,安全研
阅读全文TL;DR随着检测策略越来越重视调用栈遥测和验证,攻击者也在采用更复杂的规避技术来应对。基于我们之前关于 Stack Moonwalk 和 Eclipse 检测算法的研究,本研究引入了一种利用 moo
阅读全文引言进程注入是红队和威胁行为者常用的技术,广泛应用于防御规避、权限提升及其他有趣的用例。截至本文发布时,MITRE ATT&CK 框架已收录 12 种 (远程) 进程注入子技术。当然,还有众多其他示例
阅读全文使用 MCP 进行调试、逆向与威胁分析今年早些时候,Sven Scharmentke 发表了题为《崩溃分析的未来:AI 与 WinDBG 的结合》(The Future of Crash Analys
阅读全文在本系列文章的 第 1 部分 中,我展示了使用自然语言处理来分析 Windows 崩溃转储的配置过程。本文将更深入地探讨如何通过"氛围编码" (vibe coding) 扩展 MCP 在 Window
阅读全文在这篇博客文章中,我想记录并分享我在 EDR (Endpoint Detection and Response,端点检测与响应) 调试和逆向工程领域的最新发现和经验。我最近接触到一个端点检测与响应 (
阅读全文执行摘要在本研究中,我们探索了使用大语言模型 (LLM) 来查找已修补漏洞的根本原因。我们开发了一个名为 PatchDiff-AI 的多智能体系统,能够自主分析 Patch Tuesday 漏洞的根本
阅读全文在印度季风末期一个晴朗的周末早晨,我坐在窗边,手里拿着笔记本电脑,以"多线程"的方式思考着自然与人生。接下来我想到的是破解点什么 (当然是合乎道德的),这是我第二兴奋的事情!(你可以猜猜第一件是什么。
阅读全文一、引言在最近的 React2shell 攻击活动中,一个经过 UPX 加壳的 Linux 木马引起了我的注意。该样本在 VirusTotal 上被发现,Wiz 此前已标记了其 C2 基础设施。虽然
阅读全文2010 年代初期,自带设备办公 (BYOD) 彻底改变了职场生态——员工得以使用个人智能手机和笔记本电脑处理工作事务,在提升生产力的同时也带来了一系列安全隐患,如数据泄露和终端管理失控等问题。时至
阅读全文通过对智能体重秤用户设备绑定流程的逆向工程和漏洞挖掘,我成功接管了数百万台联网健康设备。硬件安全与 Web 安全是现代智能设备安全的两大支柱,掌握这两方面的攻击技术可以带来令人震撼且细思极恐的成果。本
阅读全文欢迎回来!随着 2025 年临近尾声,我们当然又在等着下一轮 SSLVPN 漏洞利用在 1 月爆发(就像 2024 年和 2025 年那样)。耶——在那之前,我们想先清理一下积压的工作,看看还能发布多
阅读全文阅读时间:17 分钟本文的配套代码仓库(Claude 辅助完成)位于:https://github.com/BaffledJimmy/NebulaPOC。如果你时间紧迫,核心观点是:能否为植入体的网状
阅读全文执行摘要Wiz Research 在调查某客户工作负载上的恶意软件感染事件时,发现了 Gogs(一款流行的自托管 Git 服务)中存在一个正被活跃利用的零日漏洞。符号链接绕过漏洞(CVE-2025-8
阅读全文