首页
学习
活动
专区
圈层
工具
发布

基于OAuth滥用的定向钓鱼攻击与防御机制研究

通过可执行代码示例,验证了OAuth授权监控与自动撤销机制的有效性。研究结论指出,仅依赖用户教育无法应对当前高度专业化、协议级的钓鱼威胁,必须从身份治理与协议使用规范层面重构企业安全边界。...2.2 OAuth授权流程劫持当用户点击“使用Google账号登录”按钮时,前端JavaScript发起标准OAuth 2.0授权请求:const authUrl = 'https://accounts.google.com...,实现横向移动;通过Signal或WhatsApp主动联系潜在目标,以“会议协调员”身份索要推荐或二次确认,扩大目标池。...;在授权前检查OAuth请求中的client_id是否属于可信实体(可通过公开数据库查询)。...5 结语本文系统分析了俄罗斯关联团伙UTA0355利用欧洲安全会议名义实施的OAuth定向钓鱼攻击,揭示其如何通过高仿真社会工程与协议机制滥用,实现对企业云账户的隐蔽接管。

27710

从0开始构建一个Oauth2Server服务 授权范围 Scope

读与写 在定义服务范围时,读取与写入访问是一个很好的起点。通常,对用户的私人配置文件信息的读取访问权限是通过与想要更新配置文件信息的应用程序分开的访问控制来处理的。...有关 Google OAuth API 支持范围的完整列表,请访问他们的 OAuth 2.0 游乐场,网址为https://developers.google.com/oauthplayground/...让我们使用一个服务示例,该服务提供使用许可内容的高级功能,在本例中,该服务提供一个 API 来聚合给定区域的人口统计数据。用户在使用服务时收取费用,费用根据查询区域的大小而定。...您可以看到,您可以通过多种方式向用户提供有关 OAuth 授权范围的信息,并且各种服务采用了截然不同的方法。在决定范围的详细程度时,一定要考虑应用程序的隐私和安全要求。...在 OAuth 2.0 规范开始制定之前,OAuth 1 已部署在 Twitter,Twitter 应用生态系统正在快速发展。

1.1K30
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    OAuth 2.0 for Client-side Web Applications

    OAuth 2.0的客户端Web应用程序 本文介绍了如何从一个JavaScript的Web应用程序实现的OAuth 2.0授权访问谷歌的API。...重定向包含的访问令牌,您的应用验证,然后使用使API请求。 注:由于得到执行正确的安全隐患,我们强烈建议您与谷歌的OAuth 2.0端点交互时使用OAuth 2.0库。...该访问请求只是为了演示如何启动在JavaScript应用程序中的OAuth 2.0流。这个应用程序不作任何API请求。...JavaScript的代码示例 如上所示,此代码示例为页(一个应用程序),该加载谷歌API客户端库JavaScript和发起的OAuth 2.0流动。...您也可以撤销通过访问应用程序 的权限为您的谷歌帐户页面。该应用程序被列为OAuth 2.0用户演示了谷歌API文档。

    3.2K10

    详解JWT和Session,SAML, OAuth和SSO,

    请求 API 时携带 token 的方式也有很多种,通过 HTTPHeader 或者 url 参数或者 google 提供的类库都可以: HTTP Header GET /drive/v2/files...OAuth 从获取 token 到使用 token 访问接口。这其实是标准的 OAuth2.0 机制下访问 API 的流程。这里介绍一下 OAuth 里外相关的概念,更深入的理解 token的作用。...我们可以只需要 认证功能,而不需要 授权功能,甚至不需要自己实现 认证功能。而借助 Google 的认证系统,即用户可以用 Google 的账号进行登陆。...OAuth 2.0 我们先简单了解 SSO 下的 OAuth2.0 的流程。 ?...OAuth 的设计本意更倾向于 授权而非认证(当然授权用户信息就间接实现了认证), 虽然 Google 的 OAuth2.0API 同时支持 授权 和 认证。

    3.9K20

    高级OAuth钓鱼攻击的演化机制与防御体系构建

    摘要近年来,随着基于OAuth 2.0协议的身份联合与授权机制在企业级应用中的广泛部署,攻击者逐步将目标从传统凭证窃取转向对授权流程本身的滥用。...关键词:OAuth 2.0;钓鱼攻击;PhaaS;令牌劫持;条件访问;Microsoft Entra ID1 引言OAuth 2.0协议自标准化以来,已成为现代Web与移动应用实现第三方授权的事实标准。...尤其在Microsoft 365、Google Workspace等企业生产力平台中,OAuth被深度集成于单点登录(SSO)、API调用、跨应用数据共享等关键场景。...2 OAuth 2.0授权码模式与企业部署现状在企业环境中,OAuth 2.0最常采用授权码模式(Authorization Code Flow),尤其适用于具备后端服务的Web应用。...前者有效期通常为1小时,后者可达90天(取决于租户策略)。攻击者利用刷新令牌可无限续期访问令牌,实现长期潜伏。

    28310

    OAuth 详解 什么是 OAuth?

    OAuth 通过 HTTPS 工作,并使用访问令牌而不是凭据对设备、API、服务器和应用程序进行授权。 OAuth 有两个版本:OAuth 1.0a和OAuth 2.0。...如今,OAuth 2.0 是使用最广泛的 OAuth 形式。所以从现在开始,每当我说“OAuth”时,我都是在谈论 OAuth 2.0——因为它很可能是您将要使用的。 为什么选择 OAuth?...两者在 OAuth 命名法上有显着区别。可以信任机密客户端来存储秘密。它们不在桌面上运行或通过应用程序商店分发。人们无法对它们进行逆向工程并获得密钥。它们在最终用户无法访问的受保护区域中运行。...它通常不支持刷新令牌,并且假定资源所有者和公共客户端在同一台设备上。当您有一个只想使用 OAuth 的 API,但您有老派的客户要处理时。...示例包括:profile、email、address和phone。 OIDC 的创建是为了通过使事物完全动态化来实现 Internet 可扩展性。不再需要像 SAML 那样下载元数据和联合。

    7.2K20

    ConsentFix攻击机制与OAuth授权滥用的防御对策研究

    攻击者通过伪造合法服务(如Cloudflare验证页或微软账户修复向导),引导用户在浏览器中完成看似无害的操作——复制粘贴一个URL或点击“同意”按钮,实则触发OAuth授权请求,将访问令牌(access...、策略治理与用户教育的三层防御体系;第六部分通过代码示例展示典型攻击场景与检测逻辑;最后总结全文并指出未来研究方向。...例如,用户在Google搜索“公司邮箱无法登录”,点击一个已被SEO投毒的合法但遭篡改的第三方支持页面。...(三)规避检测的关键设计ConsentFix之所以难以被发现,源于其多重规避特性:无密码交互:不触发密码爆破、撞库或凭证填充告警;合法IdP流量:所有OAuth请求均经由微软官方端点,无法通过IP或域名黑名单拦截...permissions with scopes);自动化撤销机制:当检测到可疑活动时,自动调用Microsoft Graph API撤销相关应用授权:# 使用Microsoft Graph API撤销用户授权

    19010

    用PHP代码批量生成百度、新浪短网址,打造最炫的api接口

    . 1 google、baidu、网易、新浪短网址服务的API比较 baidu短网址API接口完全对外开放,用户不需申请其开放渠道的APPKEY,也不用选用OAuth的协议,因此相对简略方便,google...的短网址API接口有两种形式,一种类似于baidu无需进行繁复的OAuth认证,不过限制比多,另一种是选用GAE渠道OAuth2.0的认证方法,限制较少,新浪微博的短网址API接口服务也类似于google...,第一种只需要取得新浪微博开放渠道的APPKEY即可使用,第二种是选用OAuth2.0认证的方法,网易只提供类似于新浪微博提供的第二种API接口调用方法,即需要申请APPKEY,不过申请非常简单经过,这点不同于新浪微博...bug,用接口生成的短网址无法经过API接口复原为之前的长网址,提示“NOT_MATCH”(对应的官方阐明是,Key和短地址不匹配,无法复原),可是如上图所示,如果在http://126.am/user.action...API接口有两种完成方法,第一种是原始的OAuth1.0的验证方法,比较简单,无需请求token,第二种是OAuth2.0的验证方法,这个需求access_token(虽然官方文档http://t.cn

    1.4K10

    开发中需要知道的相关知识点:什么是 OAuth?

    OAuth 通过 HTTPS 工作,并使用访问令牌而不是凭据对设备、API、服务器和应用程序进行授权。 OAuth 有两个版本:OAuth 1.0a和OAuth 2.0。...如今,OAuth 2.0 是使用最广泛的 OAuth 形式。所以从现在开始,每当我说“OAuth”*时,我都是在谈论 OAuth 2.0——因为它很可能是您将要使用的。 为什么选择 OAuth?...两者在 OAuth 命名法上有显着区别。可以信任机密客户端来存储秘密。它们不在桌面上运行或通过应用程序商店分发。人们无法对它们进行逆向工程并获得密钥。它们在最终用户无法访问的受保护区域中运行。...它通常不支持刷新令牌,并且假定资源所有者和公共客户端在同一台设备上。当您有一个只想使用 OAuth 的 API,但您有老派的客户要处理时。...示例包括:profile、email、address和phone。 OIDC 的创建是为了通过使事物完全动态化来实现 Internet 可扩展性。不再需要像 SAML 那样下载元数据和联合。

    2.5K40

    开放授权之道:OAuth 2.0的魅力与奥秘

    API访问控制: 在微服务架构中,OAuth 2.0可以用于限制和控制微服务之间的API访问。每个微服务可以充当资源服务器,并通过OAuth 2.0来授权其他服务访问其受保护的资源。...云服务集成: 企业可以使用OAuth 2.0来整合各种云服务,例如使用Google Drive API或Microsoft Graph API,以实现对云存储和办公应用的访问。...成功案例: Google API: Google使用OAuth 2.0来允许第三方应用程序访问用户的Google服务,例如Gmail、Google Drive等。...Facebook API: Facebook使用OAuth 2.0来允许开发者通过API访问用户的Facebook数据,例如个人资料信息、相册等。...用于实现身份验证,并通过ID令牌向客户端提供用户信息。 身份令牌: OAuth 2.0: OAuth 2.0不提供标准化的身份令牌。

    87111

    Google JavaScript API 的使用

    选项1:加载API发现文档,然后组合请求。 以下示例假定用户已经登录。有关如何登录用户的完整示例,请参见完整的auth示例。...要为您的项目启用API,请执行以下操作: 在Google API控制台中打开API库。如果出现提示,请选择一个项目或创建一个新项目。API库按产品系列和受欢迎程度列出了所有可用的API。...OAuth 2.0凭证 要获取用于简单访问的API密钥,请执行以下操作: 在API控制台中打开“ 凭据”页面。...要获取OAuth 2.0凭据以进行授权访问,请执行以下操作: 在API控制台中打开“ 凭据”页面。 点击创建凭据> OAuth客户端ID,然后选择适当的应用程序类型。...有关使用OAuth 2.0凭据的信息,请参阅“ 身份验证”页面。

    4.8K20

    OAuth2.0协议(RFC 6749)中定义的四大核心角色

    它们共同构成了 OAuth 2.0 委托授权模型的基础。 下面逐一详解每个角色的定义、职责、典型示例及相互关系,帮助我建立清晰的系统认知。...在绝大多数场景下,资源所有者就是“用户”(End User)。 例如:我在使用“第三方 App 登录 GitHub”时,我本人就是资源所有者。 职责 决定是否授权某个客户端访问自己的数据。...若验证通过,返回受保护资源;否则返回 401 Unauthorized 或 403 Forbidden 典型示例 场景 资源服务器 GitHub API 提供用户仓库列表 api.github.com...它是 OAuth 2.0 的核心枢纽,实现协议标准流程。 必须安全地管理客户端注册、用户认证、令牌生命周期。...Token) (可选)提供 Token 校验或公钥分发接口 典型示例 类型 示例 公共授权服务器 Google Identity Platform、Auth0、Okta、微信开放平台 自建授权服务器

    17510

    可能是第二好的 Spring OAuth 2.0 文章,艿艿端午在家写了 3 天~

    《理解 OAuth2.0》 《OAuth2.0 的一个简单解释》 《OAuth2.0 的四种方式》 《GitHub OAuth 第三方登录示例教程》 1.1 OAuth2.0 是什么?...1.2 OAuth2.0 角色解释 在 OAuth2.0 中,有如下角色: ① Authorization Server:认证服务器,用于认证用户。如果客户端认证通过,则发放访问资源服务器的令牌。...响应说明: 响应字段 access_token 为访问令牌,后续客户端在访问资源服务器时,通过它作为身份的标识。...① 使用「5.1.1 简单测试」小节获得的访问令牌,请求 api/example/hello> 接口时带上,则请求会被通过。如下图所示: ?...多个授权服务器时,令牌信息无法共享,导致用户一会授权成功,一会授权失败。

    2.7K40

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    公共互联网反网络钓鱼工作组技术专家芦笛在接受本报专访时直言,“攻击者没有破解系统,而是利用了系统本身的设计逻辑,把‘便利性’变成了‘致命漏洞’。”...授权完成后,攻击者的服务器立即通过 OAuth 2.0 的 /token 端点兑换访问令牌和刷新令牌(Refresh Token),从而获得对受害者邮箱、日历、文件等资源的长期访问权——全程无需知道密码...二、技术深潜:OAuth 设备授权流为何成了“后门”?要理解这场危机,必须回到 OAuth 2.0 协议本身。OAuth 是现代互联网身份授权的事实标准。...Proofpoint 发现,部分攻击甚至持续数周未被发现——因为所有操作都通过合法 API 进行,IP 地址来自正常办公区域(攻击者使用代理或已控跳板机),行为模式与日常办公高度相似。...实施严格的 OAuth 应用审批策略启用“用户无法注册应用”策略,并要求所有第三方应用必须经 IT 部门审批。

    28710

    WordZ:Word终结者,基于Google API的文档自动化 电子合同发票流水账单线上集成方案

    步步维艰,步步为营,学富五车 在确定了技术栈和实现方案后,就开始写代码了, OAuth2.0 首先,Google API 都是通过OAuth2.0授权的方式来调用的,关于OAuth2.0 大家可以查看一下官方资料..., 这里是阮一峰的博客,大家可以用来参考 官方关于OAuth2.0在谷歌API中的使用 我翻译的中文文档 在清楚了OAuth2.0后,我就知道了为什么调用一些接口报没有权限。...通过OAuth2.0 我们获取一个临时调用接口的accessToken,这个accessToken会一直跟随着API的调用,由官方库自动设置到http的headers上。...这里便是Google的API库,你可以随意挑选, google-api-javascript-client 使用js调用接口,必须要了解一些这个库,这个是谷歌的一个开源库 地址 库里介绍了如何初始化OAuth2.0...下面我就找几个比较典型的问题来和大家分享一下 典型问题1:Google JS API 授权 失败 在调用API时,为了格式整齐,漂亮,将一部分授权代码这样写了 // 初始化OAuth2.0授权

    4.9K30

    深度解析 OAuthClient:协议角色、实现剖析与安全实践

    在现代互联网应用里,OAuthClient这个术语常被用来指代实现OAuth2.0client角色的软件组件或库。...OAuthClient的进化与常用特性在早期OAuth1.0a时代,客户端需要计算复杂的签名;进入OAuth2.0,签名负担被转移到TLS,同时新增了公开客户端与机密客户端的区分。...多语言生态巡礼Java领域SpringSecurity:自5.1起内置spring-security-oauth2-client,通过注解与配置文件即可完成常见供应商登录示例(Home,Baeldung...ScribeJava:轻量API,支持OAuth1/2,示例丰富,适合引入到非Spring项目(GitHub,Baeldung)。...结语OAuthClient并不是神秘的黑盒,而是一套围绕OAuth2.0规范实现的协作逻辑。它的核心责任只有两件:拿到令牌、用好令牌。

    7900

    Gmail凭证泄露事件中的撞库与OAuth钓鱼攻击分析

    研究强调,组织在响应此类事件时应准确区分“真实后端泄露”与“数据聚合翻炒”,避免因误判导致资源错配或用户恐慌引发的次生社工风险。...全文结构如下:第二部分详述攻击技术实现机制;第三部分分析现有身份验证体系的结构性缺陷;第四部分提出多维度防御框架并辅以代码示例;第五部分讨论组织响应策略的优先级划分;第六部分总结研究发现。...随后,通过伪造的“Google安全中心”邮件发送链接,诱导用户点击并授权。典型钓鱼邮件内容如下:主题:【紧急】您的Google账户存在异常登录尝试内容:我们检测到您的账户在未知设备上尝试登录。...3.2 OAuth授权模型的信任滥用OAuth 2.0设计初衷是让用户授权第三方应用有限访问其资源,而非完全交出账户控制权。...企业可利用Workspace Admin Console导出所有用户的OAuth授权记录,进行集中审计:# 使用 Google Admin SDK Directory API 获取用户授权应用from

    37510

    如何在微服务架构中实现安全性?

    OAuth 2.0 是一种访问授权协议,最初旨在使公共云服务(如 GitHub 或 Google)的用户能够授予第三方应用程序访问其信息的权限,而不必向第三方应用透露他们的密码。...图 4 API Gateway 通过向 OAuth 2.0 身份验证服务器发出请求来验证 API 客户端。身份验证服务器返回访问令牌,API Gateway 将其传递给服务。...基于 OAuth 2.0 的 API Gateway 可以使用 OAuth 2.0 访问令牌作为会话令牌来验证面向会话的客户端。而且,当访问令牌到期时,它可以使用刷新令牌获得新的访问令牌。...如果访问令牌已经过期或即将过期,API Gateway 将通过发出 OAuth 2.0 刷新授权请求来获取新的访问令牌(www.oauth.com/oauth2-servers/access-tokens...使用现成的 OAuth 2.0 身份验证服务器意味着你不必浪费时间重新发明轮子或者是没有开发不安全的设计的风险。但 OAuth 2.0 不是在微服务架构中实现安全性的唯一方法。

    6K40
    领券