认证攻击 on 办公AI智能小助手

JWT黑客工具包：掌握认证攻击的20种实战技术

Tue, 09 Dec 2025 06:05:00 +0800

JWT Hacking Toolkit: 20 Real Hacker Techniques to Master Authentication Attacks

你听说过百万美元的漏洞赏金，最终发现一切都始于一个配置错误的JWT吗？你不会相信有多少渗透测试报告和安全漏洞归根结底只是几行JSON的问题。JWT无处不在：单点登录、REST API、云微服务——你能想到的都有。然而，大多数开发者并没有意识到他们可能敞开了多少扇门。

2025年网络攻击中的NTLM协议滥用：漏洞利用与防御剖析

Sun, 07 Dec 2025 01:09:04 +0800

旧技术，新漏洞：2025年持续存在的NTLM协议滥用

恍如2000年代

翻盖手机流行，Windows XP在个人电脑上首次亮相，苹果推出了iPod，通过Torrent的点对点文件共享开始兴起，MSN Messenger主导了在线聊天。这是2001年的技术场景，同年， Cult of the Dead Cow的Sir Dystic发布了SMBRelay，这是一个概念验证工具，它将NTLM中继攻击从理论带入了实践，展示了一类强大的新型认证中继漏洞利用。

Kerberos认证攻击与防御：KRBTGT账户密码重置脚本解析

Wed, 17 Sep 2025 14:57:54 +0800

Kerberos 認証に対する攻撃と対策：KRBTGT Account Password Reset Scripts

日本でも標的型攻撃が大きな話題となっていますが、標的型メール等の入り口の話に終始していることが多いように思います。しかし、標的型攻撃対策の難しさは、1 台の PC への攻撃をきっかけに、徐々に重要な権限を獲得し、最終的にはイントラネット全体を奪われる点にあります。このような、権限を獲得する代表的な手段として、Pass-the-Hash と呼ばれる手法が知られています。