PunyCode与零点击账户接管攻击技术解析

本视频深入解析了利用PunyCode编码和IDN攻击实现零点击账户接管的技术细节,涵盖了Unicode字符混淆、同形文字攻击等高级漏洞利用手法,为安全研究人员提供实战性攻击防御方案。

Puny-Code, 0-Click Account Takeover | @YShahinzadeh & @AmirMSafari | #NahamCon2025

视频信息

  • 发布者: NahamSec(已验证)
  • 订阅者: 17.8万
  • 观看次数: 9,827次(2025年6月9日发布)
  • 视频时长: 16分30秒

内容概述

本技术演讲由@YShahinzadeh和@AmirMSafari共同呈现,重点探讨了以下核心安全议题:

PunyCode攻击向量

  • 详细解析国际化域名(IDN)中PunyCode编码的安全隐患
  • 演示如何利用Unicode字符混淆实现域名欺骗
  • 同形文字攻击(Homograph Attack)的实际案例展示

零点击账户接管技术

  • 无需用户交互的账户劫持技术原理
  • 结合IDN漏洞的自动化攻击链构建
  • 实际漏洞利用演示和攻击效果验证

技术深度

演讲包含以下实质性技术内容:

  • Unicode字符标准化过程中的安全缺陷
  • 浏览器处理IDN域名的差异分析
  • 基于字符混淆的身份验证绕过技术
  • 实际漏洞利用代码片段展示

资源链接

  • 漏洞赏金培训:https://bugbounty.nahamsec.training
  • 免费实验环境:https://app.hackinghub.io
  • DigitalOcean $200优惠:https://m.do.co/c/3236319b9d0b

推荐阅读

  • 《Bug Bounty Bootcamp: The Guide to Finding and Reporting Web Vulnerabilities》
  • 《Hacking APIs: Breaking Web Application Programming Interfaces》
  • 《Black Hat GraphQL: Attacking Next Generation APIs》

技术社区

  • 官方网站:https://www.nahamsec.com
  • Twitter: @nahamsec
  • Instagram: @nahamsec
  • LinkedIn: /nahamsec
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次