利用PunyCode实现零点击账户接管攻击的技术解析

本视频详细解析了如何利用PunyCode编码和国际化域名(IDN)漏洞实现零点击账户接管攻击的技术细节，包括攻击原理、漏洞利用方法和实际案例演示，为安全研究人员提供重要的攻防技术参考。

Puny-Code, 0-Click Account Takeover | @YShahinzadeh & @AmirMSafari | #NahamCon2025

视频信息

发布者: NahamSec（已认证）
订阅者: 178K
观看次数: 9,663次（1个月前发布）
视频时长: 16分30秒

内容概述

本技术演讲由@YShahinzadeh和@AmirMSafari在NahamCon2025会议上呈现，重点探讨了利用PunyCode编码实现零点击账户接管攻击的高级技术。

技术要点

PunyCode攻击原理

利用国际化域名(IDN)的PunyCode编码机制
通过Unicode字符混淆实现域名欺骗
绕过传统安全检测机制

零点击账户接管技术

无需用户交互即可完成账户劫持
结合IDN同形文字攻击向量
利用身份验证流程中的逻辑缺陷

资源链接

漏洞赏金培训: https://bugbounty.nahamsec.training
免费实验环境: https://app.hackinghub.io
DigitalOcean $200信用额度: https://m.do.co/c/3236319b9d0b

推荐资源

技术书籍

《Bug Bounty Bootcamp: The Guide to Finding and Reporting Web Vulnerabilities》
《Hacking APIs: Breaking Web Application Programming Interfaces》
《Black Hat GraphQL: Attacking Next Generation APIs》

相关技术视频

2024年漏洞赏金狩猎入门指南
Web应用渗透测试/黑客技术路线图
现代WAF绕过技术
403绕过技术详解
XSS漏洞深入解析

关于演讲者

Ben（NahamSec），前黑客转型内容创作者，通过分享顶级黑客和漏洞赏金猎人的实战经验，帮助安全研究人员提升技术能力。

comments powered by Disqus