GOAD (Game Of Active Directory)
GOAD is a pentest active directory LAB project. The purpose of this lab is to give pentesters a vulnerable Active directory environement ready to use to practice usual attack techniques.
https://github.com/Orange-Cyberdefense/GOAD
#ActiveDirectory #AD #Microsoft #Pentest #vulnerabilites
GOAD is a pentest active directory LAB project. The purpose of this lab is to give pentesters a vulnerable Active directory environement ready to use to practice usual attack techniques.
https://github.com/Orange-Cyberdefense/GOAD
#ActiveDirectory #AD #Microsoft #Pentest #vulnerabilites
Forwarded from SHADOW:Group
На сайтах, где идентификация идет по Email и есть возможность войти через Microsoft OAuth есть риск захвата аккаунта.
Дело в том, что Azure не проверяет установленную в аккаунте почту, что позволяет вам указать почту жертвы и войти на уязвимый сайт через OAUTH от ее имени.
- Жертва регается на сайте через свою почту.
- Заходим в Azure AD и меняем свою почту на почту жертвы.
- Заходим на сайт через Microsoft OAuth и получаем доступ к аккаунту жертвы.
Видео PoC
#web #ato #oauth
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
nOAuth | OAuth Implementation Flaw Affecting Azure AD OAuth Applications
nOAuth is an authentication implementation flaw that can affect Microsoft Azure AD multi-tenant OAuth applications. This demo video explains how the misconfiguration can lead to full account takeover and how to prevent it.
This blog on nOAuth has more details:…
This blog on nOAuth has more details:…
🔥7👍3❤1❤🔥1👎1