文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

Firebase 与 Apps Script 在钓鱼攻击中的滥用机制与防御对策研究

过去十年中,攻击者逐步从自建恶意域名转向滥用第三方可信平台,以规避基于域名黑名单、URL信誉评分和邮件内容过滤的传统防御机制。...Google Apps Script 则是基于 JavaScript 的轻量级自动化脚本平台,可直接调用 Google Workspace API,并可通过 Web App 形式对外提供 HTTP 接口...此外,由于 Firebase 项目与 Apps Script 脚本均可通过免费账号创建,攻击成本极低,且项目 ID 随机生成(如 xk9f2m-web-app),难以通过命名规则识别。...终端防护软件:通常监控进程行为或文件写入,对纯浏览器内发生的表单提交无感知。网络层防火墙:无法深度解析 HTTPS 流量中的表单内容,且放行所有 Google 域名流量。...本文通过解构攻击链,揭示了从页面部署、数据收集到规避检测的完整技术路径,并提出了融合权限管控、行为分析与自动化响应的防御体系。实验结果证实,该框架能显著降低凭证泄露风险。

20710
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Postman----API接口测试神器

    Postman安装 可以从以下URL下载Postman Native App: https://www.getpostman.com/apps 或者你可以在Google Chrome网上商店添加扩展程序...hl=en Postman非常容易上手,它提供API调用的集合,我们必须按照规范来测试应用程序的API。 可以从给定的下拉列表中选择API调用方法,根据API调用设置授权、标头、正文等信息。...2.HTTP响应——在发送请求时,API发送响应,包括正文,Cookie,标头,测试,状态代码和API响应时间。 Postman在不同的选项卡中组织正文和标题。...Postman中的测试脚本 有了Postman,就可以使用JavaScript语言为每个请求编写和运行测试。收到响应后,将在“测试”选项卡下添加代码并执行。...用户可以使用Assertion作为response.body.should.have.schema(someJsonSchema)再次验证特定的JSON模式的响应 安装Postman BDD 安装Postman

    5.1K30

    JavaScript是如何工作的:Web Workers的构建块+ 5个使用他们的场景

    异步编程的一个很好的用例就 AJAX 请求。由于请求可能花费大量时间,因此可以使用异步请求,在客户端等待响应的同时还可以执行其他代码。...由于 Worker 不能读取本地文件,所以这个脚本必须来自网络。如果下载没有成功(比如404错误),Worker 就会默默地失败。...data = e.data; switch (data.cmd) { case 'average': var result = calculateAverage(data); // 从数值数组中计算平均值的函数...在 worker 内部(在 workerWithError.js 中),我们通过将未定义 x 乘以 2 来创建一个异常。异常被传播到初始脚本,然后通过页面监听 error事件,对错误进行捕获。...Progressive Web Apps(渐进式Web应用程序):这种渐进式Web应用程序要求,即使在用户网络不稳定的条件下,也能够迅速的加载。这意味着数据必须本地存储在浏览器中。

    1.3K10

    如何获取任何网址或网页的Google缓存时限?

    在使用互联网的过程中,我们经常会遇到一些网页无法访问或已被删除的情况。然而,有时候我们仍然希望能够查看这些已删除或无法访问的网页的内容。这就需要我们利用谷歌的缓存功能来获取网页的缓存版本。...谷歌缓存的基本原理 谷歌缓存是谷歌搜索引擎中的一个重要功能,它可以保存对已索引网页的快照,以便用户在原始网页无法访问时仍能查看其内容。...获取网页的Google缓存时限的方法 要获取网页的Google缓存时限,我们可以通过解析谷歌搜索结果页面中的数据来获得。...提取缓存时限信息:在解析HTML页面后,我们需要找到包含缓存时限信息的HTML元素,通常这些信息会被包含在某个特定的HTML标签中。...q=cache:{url}" # 发起HTTP请求并获取响应 response = requests.get(google_search_url) # 解析HTML

    1.5K00

    从浏览器渲染到网页抓取:web crawler 的工作原理、完整流程与真实案例

    抓取:把某个URL的资源取回本地,包括HTML、JSON、图片、脚本、样式等。解析与结构化:把抓回来的内容变成可用数据,例如正文、标题、商品价格、评论列表,或索引字段。...搜索引擎的场景里,这条链路还会继续延伸成索引与排序。Google官方文档也明确描述了crawl与后续处理,并指出在抓取期间会进行渲染与执行JavaScript,以便看见依赖脚本生成的内容。...4)解析层:从字节到结构化数据抓回来的内容可能是HTML,也可能是JSON、XML、PDF、图片。不同类型要走不同解析器。...工程上通常会用几类策略判断就绪:等待某个选择器出现,例如商品价格节点出现等待网络空闲一段时间监听关键API响应并直接从JSON提取设定最大等待窗口并在超时后降级这里有个前端味很浓的经验:很多SPA的核心数据其实在某个...:优先抓API:通过DevTools找到返回价格的JSON接口,直接抓接口,减少渲染成本。

    11410

    高级OAuth钓鱼攻击的演化机制与防御体系构建

    摘要近年来,随着基于OAuth 2.0协议的身份联合与授权机制在企业级应用中的广泛部署,攻击者逐步将目标从传统凭证窃取转向对授权流程本身的滥用。...尤其在Microsoft 365、Google Workspace等企业生产力平台中,OAuth被深度集成于单点登录(SSO)、API调用、跨应用数据共享等关键场景。...本文基于近期披露的Tycoon与EvilProxy攻击样本,深入剖析其技术实现细节,识别OAuth授权链条中的关键失效点,并构建覆盖预防、检测、响应全周期的防御体系。...更有甚者,利用Google Translate的URL重写机制:https://evil.com/phish → https://evil-com.translate.goog/phish由于translate.goog...以下Python脚本利用Microsoft Graph API实现自动化审计:import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

    29310

    如何通过经纬度获取地址信息?

    Google Maps API 提供这些网络服务作为从外部服务中请求 Google Maps API 数据以及在您的地图应用程序中使用它们的接口。...这些网络服务使用特定网址的 HTTP 请求并将网址参数作为参数提供给服务。一般来讲,这些服务会在 HTTP 请求中以 JSON 或 XML 的形式传回数据,供您的应用程序进行解析和/或处理。...parameters 其中 service 表示所请求的特定服务,output 表示响应格式(通常为 json 或 xml)。...地址查询(反向地址解析)响应 地址解析响应将以网址请求路径中的 output 标记所指示的格式传回。...地址解析响应对象中的 "status" 字段包含请求的状态,并且可能包含调试信息,以帮助您追溯地址解析未正常工作的原因。

    9.1K110

    百度收录状态检查与URL提交API的实现

    概述 在SEO优化工作中,了解网站在搜索引擎中的收录状态并及时提交新内容至关重要。...本文分析的PHP脚本实现了两个核心功能: 收录状态检查:查询指定URL是否被百度搜索引擎收录 主动推送:将URL提交至百度搜索引擎加速收录 技术实现解析 1....$_GET['url'] : ''; 脚本首先设置CORS头部允许跨域访问,并指定响应格式为JSON。这种设计使该接口可被前端应用直接调用,方便集成到Web项目中。 2....API响应 $resultData = json_decode($result, true); if (isset($resultData['success'])) {...API接口 需要有效的站长平台token进行身份验证 通过POST方式提交URL数据 解析并返回API的JSON响应 结尾 这种类型的接口可以轻松集成到内容管理系统中,自动化SEO监控和优化流程,大大提高网站管理效率

    57310

    更真、更强、更快的Web应用-Progressive Web Apps

    Web用户体检,把开发者从App Store的打包、部署等流程中解放出来,目标是为Web App提供个性化能力、添加到主屏幕、推送通知、离线工作、触摸体验等。...(图:Progressive Web App) 具体来说Progressive Web Apps不是一种技术,也不是工具或方法论, 是一种Web应用的形态,满足以下10个主要特性: 渐进增强: 应用运行在尽可能多的环境中...更强:Service Workers增强web能力 通过在浏览器中增加可编写脚本的网络代理层,监听浏览器与服务器的交互,是离线处理的核心,也是基础技术。...(图:Fetch API) Cache API:开发者可以全面方便地管理其内容缓存以供离线使用,其内容完全在Service Workers脚本的控制下。...(图:Cache API) Push API:向Web应用程序提供对服务器发送的通知的脚本访问,浏览器发送通知到服务器。 ?

    2.2K70

    Python爬虫之基本原理

    爬虫简介 网络爬虫(Web crawler),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本,它们被广泛用于互联网搜索引擎或其他类似网站,可以自动采集所有其能够访问到的页面内容,以获取或更新这些网站的内容和检索方式...传统爬虫从一个或若干初始网页的URL开始,获得初始网页上的URL,在抓取网页的过程中,不断从当前页面上抽取新的URL放入队列,直到满足系统的一定停止条件。...爬虫原理 Web网络爬虫系统的功能是下载网页数据,为搜索引擎系统提供数据来源。很多大型的网络搜索引擎系统都被称为基于 Web数据采集的搜索引擎系统,比如 Google、Baidu。...由此可见Web 网络爬虫系统在搜索引擎中的重要性。网页中除了包含供用户阅读的文字信息外,还包含一些超链接信息。Web网络爬虫系统正是通过网页中的超连接信息不断获得网络上的其它网页。...解析内容:得到的内容可能是HTML,可以用正则表达式、网页解析库进行解析。可能是Json,可以直接转为Json对象解析,可能是二进制数据,可以做保存或者进一步的处理。

    1.3K30

    AJAX和JSON

    本篇文章会帮助你从底层上知道 ajax 的来路,但不会帮你解析它的具体封装。...也可以是复杂数据类型的值 JSON中对象的键名必须放在双引号里面,因为JSON不是javascript语句,所以没有末尾的分号 说明︰同一个对象中不应该出现两个同名属性 数组 数组也是一种复杂数据类型,...表示一组有序的值的列表,可以通过数值索引来访问其中的值 说明∶数组或对象最后一个成员的后面,不能加逗号 { "name": "BeJson", "url": "http://www.bejson.com...JSON格式,并且可以被 JSON.parse() 方法还原 JSON之所以流行,是因为可以把JSON数据结构解析为有用的javascript对象 JSON对象的stringify()和parse()这两个方法可以分别用于把...回调函数是当响应到来时应该在页面中调用的函数,而数据就是传入回调函数中的JSON数据。 // 封装JSONP function getJSONP(url, callback) { if (!

    3.5K20

    前端面试ajax考点汇总_javascript常见面试题

    26、XML和JSON的区别? json数据的体积小,传递速度更快。 json与JavaScript交互更加方便,更加容易解析处理,更好的数据交互。 json对数据的描述性比XML较差。...它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。...Jsonp并不是一种数据格式,而json是一种数据格式,jsonp是用来解决跨域获取数据的一种解决方案,具体是通过动态创建script标签,然后通过标签的src属性获取js文件中的js脚本,该脚本的内容是一个函数调用...; JSON是一种轻量级的数据交换格式,ECMA的一个子集 优点:轻量级、易于人的阅读和编写,便于机器(JavaScript)解析,支持复合数据类型(数组、对象、字符串、数字) 32、页面编码和被请求的资源编码如果不一致如何处理...,后台开发语言都有相应的解码api。

    5.5K30

    基于Google云服务滥用的新型钓鱼攻击机制与防御策略研究

    由于邮件是由Google系统自动生成的,其SPF、DKIM签名完全有效,DMARC策略也会判定为通过。传统邮件网关无法区分这是用户自己创建的任务还是攻击者通过API注入的恶意任务。...2.2.3 Google Apps Script与Cloud Functions的自动化利用高级攻击者会利用Google Apps Script (GAS) 或 Cloud Functions 编写自动化脚本...// 模拟攻击者视角的Google Apps Script代码// 该脚本需部署在攻击者的GCP项目中,并拥有Tasks API权限function createPhishingTask(targetEmail...import jsonfrom datetime import datetime, timedelta# 模拟从Google Audit API获取的OAuth授权日志数据# 实际应用中需通过google-auth-library...该脚本展示了如何通过分析授权频率和权限范围来识别潜在的恶意应用。在实际部署中,此类逻辑应集成到企业的SOC(安全运营中心)平台中,实现实时告警与自动化响应(如自动吊销令牌、隔离用户账户)。

    15010

    2022我的前端面试总结

    ,由于浏览器同源策略的原因,当本地访问后端就会出现跨域请求的问题通过设置webpack proxy实现代理请求后,相当于浏览器与服务端中添加一个代理者当本地发送请求的时候,代理服务器响应该请求,并将请求转发到目标服务器...⽤户打开⽬标⽹站时,⽹站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器。⽤户浏览器接收到响应后解析执⾏,混在其中的恶意代码也被执⾏。...⽤户浏览器接收到响应后解析执⾏,前端 JavaScript 取出 URL 中的恶意代码并执⾏。恶意代码窃取⽤户数据并发送到攻击者的⽹站,或者冒充⽤户的⾏为,调⽤⽬标⽹站接⼝执⾏攻击者指定的操作。...由于 split 分割后形成的数组的每一项值为字符串,所以需要用一个map方法遍历数组将其每一项转换为数值型。...最后通过JSON.parse() 解析字符串。

    1.4K30

    jq 强大的命令行JSON处理神器入门教程

    引言在数据处理的世界里,JSON(JavaScript Object Notation)已经成为最流行的数据交换格式之一。无论是API响应、配置文件还是数据存储,JSON都无处不在。...[索引]来访问特定位置的元素:echo '["apple", "banana", "cherry"]' | jq '.[1]'输出:"banana"数组也可以通过切片访问:echo '["apple",...案例1: 解析API响应假设我们从GitHub API获取了仓库信息,要提取最近的提交信息:curl -s https://api.github.com/repos/stedolan/jq/commits...保存和加载jq脚本: 将复杂过滤器保存到文件中: jq -f transform.jq data.json从JSON创建CSV: jq -r '.[] | [.id, .name, .email...保存和加载jq脚本: 将复杂过滤器保存到文件中: jq -f transform.jq data.json从JSON创建CSV: jq -r '.[] | [.id, .name, .email

    64010

    脚本化HTTP 取得响应 指定请求

    即这种的跨域可以不受到同源的限制 ajax中的x ajax中的x为xml为一种可选的通信方式,也可以使用JSON完成通信。...指定请求 指定请求使用的是request.open(),此方法将会初始化一个请求从js代码中调用。...方法直接open使用第三个参数为false 响应解码 当服务器响应的为XML文档的时候,其返回的值为document对象,能使用操作节点的方式,对其进行操作 当服务器发送对象或者数组的结构化数据,如JSON..., 使用JSON.parse 对结构化数据进行解析 下方书写一个函数,进行结构化数据的解析 // 发起HTTP GET响应,获得指定的URL内容 // 当响应到达时,把他们解析后的XML Document...") // 如果头部的信息为JSON callback(JSON.parse(request.responseText)); // 将结果JSON格式解析 else callback

    2K40
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券