CISO面临的挑战是平衡全球员工的远程工作与网络安全。Cloudflare推出了强制身份验证和独立多因素认证(MFA)工具,以增强远程访问的安全性,确保设备在连接互联网前已注册和认证,从而降低潜在攻击风险。

注意差距:从启动到登录的持续强制执行新工具
The Cloudflare Blog
The Cloudflare Blog ·
如何实现AWS账户登录活动自动化告警和响应(一)

如何实现AWS账户登录活动自动化告警和响应(一)
亚马逊AWS官方博客
亚马逊AWS官方博客 ·
AWS云安全基础知识入门指南

AWS云安全基础知识入门指南
freeCodeCamp.org
freeCodeCamp.org ·
像 CAPTCHA 这样的认证方法的可及性问题

像 CAPTCHA 这样的认证方法的可及性问题
Articles on Smashing Magazine — For Web Designers And Developers
Articles on Smashing Magazine — For Web Designers And Developers ·
Mixpanel安全事件:OpenAI用户需要知道的事项

Mixpanel安全事件:OpenAI用户需要知道的事项
OpenAI
OpenAI ·
Java 注释月刊 – 2025年11月

Java 注释月刊 – 2025年11月
The JetBrains Blog
The JetBrains Blog ·
网传谷歌泄露1.83亿个账户密码影响Gmail邮箱 谷歌不得不再次发文驳斥所谓的泄露

网传谷歌泄露1.83亿个账户密码影响Gmail邮箱 谷歌不得不再次发文驳斥所谓的泄露
蓝点网
蓝点网 ·
Spring Security 7 中的多因素认证

Spring Security 7 中的多因素认证
Spring
Spring ·

网络安全领域出现新趋势,网络犯罪分子利用用户友好的工具如MatrixPDF和SpamGPT进行攻击。MatrixPDF可将PDF文件转化为恶意软件,绕过安全检查;SpamGPT是AI驱动的钓鱼平台,简化大规模攻击。专家建议启用多因素认证,并警惕可疑文件。

SpamGPT与MatrixPDF:低门槛AI恶意工具包成为攻击者首选
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
Microsoft Entra ID中的认证方法与功能

Microsoft Entra ID中的认证方法与功能
Devart Blog
Devart Blog ·
如何在社交应用中集成面部识别认证与Face API

如何在社交应用中集成面部识别认证与Face API
freeCodeCamp.org
freeCodeCamp.org ·

微软Entra ID(原Azure AD)存在高危漏洞CVE-2025-55241,攻击者可伪装成任意用户,绕过多因素认证。该漏洞源于未验证的租户机制,攻击者可利用Actor token冒充特权用户。尽管微软已发布补丁,安全专家仍对云身份系统的信任表示担忧。

微软Entra ID漏洞暴露云身份信任模型缺陷
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

开源AI平台FlowiseAI存在高危漏洞CVE-2025-58434,攻击者可在未认证状态下接管任意账户。该漏洞源于密码重置机制,攻击者可通过邮箱获取重置令牌直接修改密码。建议采取临时防护措施,如限制敏感信息返回和启用多因素认证。

漏洞预警:FlowiseAI 高危漏洞(CVE-2025-58434)可导致完全账户接管(CVSS 9.8)
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
访问API迁移至Spring Security访问

访问API迁移至Spring Security访问
Spring
Spring ·

Cato Networks报告指出,网络犯罪分子利用企业对AI平台的信任,实施复杂的钓鱼攻击,窃取Microsoft 365凭证。攻击者通过伪装邮件和受保护的PDF文件绕过安全防护。专家建议企业加强AI平台的安全监控,实施多因素认证,并培训员工谨慎处理附件,以应对新型网络威胁。

黑客利用AI平台窃取Microsoft 365凭证的钓鱼攻击活动
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

网络犯罪分子在暗网以低至40美元的价格出售执法机构的有效邮箱账号,这些账号可用于冒充官员发送欺诈信息或访问敏感系统。攻击手段包括弱密码、窃取浏览器信息和钓鱼攻击。研究警告称,攻击者可能滥用执法特权获取个人数据,增加安全风险。建议加强凭证管理和多因素认证。

40美元即可成为FBI?暗网低价兜售外国执法机构邮箱账号
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

NVISO报告揭示了高级威胁组织PoisonSeed的钓鱼攻击手法,利用中间人攻击突破多因素认证,窃取个人和企业凭证,实施加密货币诈骗。该组织通过伪造邮件和精准验证系统诱骗受害者输入凭证,从而控制账户进行诈骗。

PoisonSeed 网络犯罪团伙 MFA 旁路钓鱼工具包技术分析:精准验证凭证窃取机制深度剖析
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

最新研究表明,攻击者可利用Active Directory和Microsoft Entra ID的漏洞,完全控制租户,绕过多因素认证,非法访问Exchange Online和SharePoint。微软已部分修复,但风险依然存在,企业需加强审计和监控。

新型Active Directory(活动目录)横向渗透技术可绕过认证并窃取数据
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
如何在您的网络应用中实施零信任认证

如何在您的网络应用中实施零信任认证
freeCodeCamp.org
freeCodeCamp.org ·

Android企业客户可通过升级至受管Google域,提升安全性,消除个人Gmail账户,支持多因素认证和单点登录,便于统一管理多个企业移动管理提供商及Google产品。

Android企业客户升级带来更强的安全性和AI能力
The Keyword
The Keyword ·
👤 个人中心
在公众号发送验证码完成验证