在GCP UI中或通过python API增加访问令牌时间 - 腾讯云开发者社区

文章/答案/技术大牛

发布

使用git-wild-hunt来搜索GitHub中暴露的凭证

查找GCP JWT令牌文件： python git-wild-hunt.py -s "extension:json filename:creds language:JSON" 查找AWS API凭证：...当前可以通过正则表达式验证的凭证包括： AWS API密钥 Amazon AWS Access密钥 ID Amazon MWS Auth令牌 Facebook访问令牌 Facebook OAuth Generic...OAuth访问令牌 Google YouTube API密钥 Google YouTube OAuth Heroku API密钥 MailChimp API密钥 Mailgun API密钥 PGP 私钥...block Password in URL PayPal Braintree访问令牌 Picatic API密钥 RSA 私钥 SSH (DSA) 私钥 SSH (EC) 私钥 Slack令牌 Slack...Webhook Square访问令牌 Square OAuth Secret Stripe API密钥 Stripe Restricted API密钥 Twilio API密钥 Twitter访问令牌

2.4K1 0

Google Workspace全域委派功能的关键安全问题剖析

通过在适当的范围利用API访问权限，内部人员可以访问和检索Google Workspace的敏感数据，从而可能会泄露存储在Google Workspace中的电子邮件、文档和其他敏感信息。...服务帐户是GCP中的一种特殊类型帐户，代表非人类实体，例如应用程序或虚拟机。服务账户将允许这些应用程序进行身份验证并于Google API交互。...如果请求有效并且服务帐户已被授予必要的全域委派权限，则令牌节点将使用访问令牌进行响应，应用程序可以使用此访问令牌在请求的范围限制内跨域访问用户数据； 3、API访问：应用程序在 API 请求中包含访问令牌作为身份认证...全域委派存在的安全风险和影响一旦将全域委派权限授予了GCP服务账户，具有必要权限的GCP角色就可以为委派用户生成访问令牌，恶意内部攻击者或窃取到凭证数据的外部攻击者将能够使用此访问令牌来冒充 Google...其中，服务帐号密钥日志将显示在GCP日志中，而Google密钥生成和API调用执行日志将显示在Google Workspace日志中。

2.2K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

代码测试工具Fortify 最新版本Fortify25.4发布，新增多个人工智能方向的风险类别

在Fortify发布的最新版本Fortify25.4中，已经可以支持33+ 种语言的 1511 个漏洞类别，涵盖超过 100 万个单独的 API。...它支持人工智能模型与外部工具、服务或数据源之间的安全和模块化集成，使大语言模型能够生成更准确和上下文感知的响应。在Fortify25.4版本中添加了对 MCP 的 Python SDK 实现的支持。...支持涵盖六个现有类别，并增加了以下两个新类别：LLM 配置错误：未指定的令牌限制MCP 配置错误：缺少身份验证2）FastAPIFastAPI 是一个现代、高性能的 Web 框架，用于基于标准 Python...类型提示使用 Python 3.7+ 构建 API。...，涉及 Json.NET17）在涉及 System.Text.Encoding 或 System.IO.StreamReader 函数的 .NET 应用程序中检测到的各种新数据流问题18）在涉及地图对象的

4501 0

Github项目推荐 | 被昨天的股票吓哆嗦了吗，试试用Trump2Cash帮你赶紧脱坑

项目代码用Python编写，你可以在Google Compute Engine实例上运行。每当特朗普发推文时，它都会使用Twitter Streaming API得到通知。...前者在特朗普推特的文本中检索对公司的提及，寻找它们的股票代码，并给推文打情绪分。后者则选择一种交易策略，即要么现在买进，然后在收盘时卖出；要么现在卖空，然后在收盘时买进以回补。...在应用程序的Keys and Access Tokens（密钥和访问令牌）选项卡下，你将找到Consumer Key和Consumer Secret。..."export TWITTER_CONSUMER_SECRET="" 如果你希望推文来自拥有该应用程序的同一帐户，只需在同一页面上使用访问令牌和访问令牌密钥即可...如果你想用其他帐户发送推文，请按照步骤获取访问令牌。

3K5 0

SkyPilot：一键在任意云上运行 LLMs

最重要的是，它允许用户在多个云平台上使用同一套配置，大大节省了学习和适配的时间。 SkyPilot 主要优势如下：云基础设施抽象：简化在任何云上启动作业和集群的过程，便于扩展和对象存储访问。...Smarter Optimizer：智能选择最便宜的虚拟机、区域或云平台，进一步节省用户成本。其他功能和特点：跨云平台支持：支持在 AWS、Azure、GCP 等多个云平台上运行。...安装首先，确保您的系统中已安装了 Python 3.7 或更高版本。对于 Apple Silicon，建议使用 Python 3.8 或更高版本。...从 huggingface 获取访问令牌，在 huggingface 生成只读访问令牌[6]，并确保你的 huggingface 账户可以访问 Llama-2 模型[7]。...在 chatbot-meta.yaml 文件中填写获取的访问令牌。

1.8K1 0

AI阅读APP的技术方案

优势：降低开发成本和时间。劣势：可能在部分复杂交互或原生集成上有所限制。...实现: 调用翻译API或部署本地翻译模型，实时提供词义和翻译。...模型: BERT, GPT系列模型（通过检索增强生成RAG，从外部知识库获取信息）。实现: 当用户查询某个概念时，AI从预构建的知识库或实时网络搜索中提取相关解释。...模型: GPT-4, Gemini, Claude (作为基础大模型)，结合检索增强生成 (RAG) 技术，从书籍内容中精准抽取答案或生成回答。...无服务器计算（Serverless）: Lambda (AWS), Cloud Functions (GCP), Function Compute (阿里云) - 用于处理异步任务或轻量级API。

7701 0

基于Google云服务滥用的新型钓鱼攻击机制与防御策略研究

攻击者通常遵循以下步骤构建攻击链路：基础设施准备：攻击者在GCP上创建一个合法的项目，启用必要的API（如Gmail API, Google Drive API, Google Tasks API, Cloud...这些脚本可以部署在攻击者的GCP项目中，并配置为定时触发或通过Webhook触发。例如，攻击者可以编写一个GAS脚本，遍历目标组织的公开目录，批量发送定制化的钓鱼任务。...';}上述代码展示了攻击的核心逻辑：一旦获取了有效的访问令牌，攻击者即可通过标准的API接口操作用户数据，而无需触碰传统的邮件传输协议（SMTP）。...令牌生命周期管理空白：一旦授权，刷新令牌通常长期有效，除非用户主动撤销或管理员强制吊销。攻击者可以利用这一机制长期潜伏，即使修改了用户密码，只要令牌未失效，访问权依然存在。...该脚本展示了如何通过分析授权频率和权限范围来识别潜在的恶意应用。在实际部署中，此类逻辑应集成到企业的SOC（安全运营中心）平台中，实现实时告警与自动化响应（如自动吊销令牌、隔离用户账户）。

941 0

Fortify软件安全内容 2023 更新 1

此版本通过扩展对 Python 标准库 API 更改的支持，增加了我们对 Python 3.10 的覆盖范围。...对Apache Beam的初始支持支持数据处理管道，例如Google Dataflow，并且仅限于Java编程语言，通过识别Apache Beam管道中的数据源。...在建议时不再在 google-services.json 中找到凭据管理：硬编码的 API 凭据 – 减少了 Facebook 修订密钥上的误报跨站点脚本 – 删除了在 VB6 Windows 窗体应用程序中触发的误报死代码...：未使用的字段 – Java lambda 中的误报减少Dockerfile 配置错误：依赖关系混淆 – 使用本地库定义时误报减少在布尔变量上报告数据流问题时，在所有受支持的语言中跨多个类别删除误报通过...配置错误：静态身份验证令牌Kubernetes 不良做法：未配置的 API 服务器日志记录Kubernetes 配置错误：未配置 API 服务器日志记录Kubernetes配置错误：不安全的传输Kubernetes

11.1K3 0

安全研究 | 如何查看GitLab中的共享敏感数据

： GCP密钥和服务帐户文件； AWS密钥； Azure密钥和服务帐户文件； Google API密钥； Slack API令牌&webhooks；私钥（SSH、PGP、任何其他杂项私钥）；公开的令牌...（Bearer令牌、访问令牌和client_secret等）； S3配置文件； Heroku、PayPal等服务的令牌；明文密码； … 基于事件的搜索我们还可以运行GitLab Watchman并搜索下列时间间隔返回的数据结果...: 24小时； 7天； 30天；所有时间；这也就意味着，在一次深度扫描之后，我们可以安排GitLab Watchman定期运行，并且只返回所选时间段的结果。...测试来确保规则格式的正确性，项目目录中的tests目录下还包含正则匹配模式。....conf文件配置选项可以在watchman.conf文件中进行配置，该文件必须存储在项目的根目录下。

2.2K2 0

如何使用GDir-Thief提取Google People目录

关于GDir-Thief GDir-Thief是一款专为红队研究人员设计的数据提取工具，在该工具的帮助下，广大安全研究人员可以通过Google的People API来提取已访问过的目标组织的Google...）项目首先，我们需要通过下列命令来获取Google API的访问令牌：创建一个Gmail或Google账号。...访问Google云控制台。点击“向下箭头”，此时会弹出一个当前项目列表对话框。点击“新建项目”。在“项目名称”栏中，输入项目描述名称。...点击“启用API和服务”，此时将会显示“API库欢迎页面”。在搜索栏中，输入“People”。点击并启用API。...在弹出的页面中选择“保存并继续”，然后点击“添加或移除Scope”。在弹出的页面中检查应用程序中所有的Google People范围。点击“更新”，然后点击“保存并继续”。

1.1K3 0

oss-fuzz-gen：一款基于LLM的模糊测试对象生成与评估框架

-m venv .venv source .venv/bin/activate pip install -r requirements.txt LLM访问 Vertex AI 访问Vertex...密钥，获取到之后需要在一个环境变量中设置： export OPENAI_API_KEY='api-key>' 工具执行下列命令可以生成并评估一个模糊测试对象，然后执行基准测试： ....或vertex_ai_code-bison-32k； 2、Vertex AI中Gemini Pro的vertex_ai_gemini-pro； 3、OpenAI的gpt-3.5-turbo或gtp-4；...coverage diff sample: //fixed_targets/ 生成报告该工具还支持通过一个...Web UI来查看结果： python -m report.web 为--work-dir的目录路径，默认值为.

1.2K1 0

GCP 上的人工智能实用指南：第一、二部分

以下是“云优先”策略的一些反模式：停机时间：云服务完全取决于可靠的互联网连接的可用性。当关键业务应用部署在云上时，互联网停机的风险和影响会增加。...通过 App Engine 访问模型后，该服务可以将请求发送到 Python 应用并以一致的方式获取响应。...它还支持行业标准的 HBase API。默认情况下，存储在 Bigtable 中的所有数据都是加密的，并且可以使用访问控制为用户提供适当的访问权限。.../或可以通过 GCP 上的服务帐户访问。...该模型自动部署在平台上，可用于通过 Web 界面或 API 对新数据集执行情感分析。

20.5K1 0

GCP 上的人工智能实用指南：第三、四部分

在 TPU 上进行模型开发的指导原则为了充分利用硬件程序，您应该利用所有可用的内核，因为这会增加模型训练的时间（每个 TPU 设备包含四个芯片和八个内核）。...在某些情况下，无法创建具有这些限制的 AI 应用的生产版本。 GCP 允许通过管理控制台请求增加配额。...在实际的生产案例中，您可以使用用 Python 编写的脚本或 cURL 工具来使用 Rest API，从而在已部署的模型版本上公开预测功能。以下代码显示了如何使用gcloud工具进行在线预测。...通常，对于项目的时间和材料成本，在月底（或预定义的发票期）将发票发送给客户。...在平台上训练的模型可以立即使用，并且可以通过安全的 API 进行访问，从而可以以最少的资金和时间投入轻松开发应用的快速原型。

9.3K1 0

听GPT 讲K8s源代码--pkg(四)

这些凭证用于访问Kubernetes集群中的API服务器或其它服务。在Kubernetes中，凭证提供者接口是一个插件化的接口，可以支持不同的认证和授权机制。...当 Kubernetes 发现新的 API 资源时，它会尝试自动注册该 API，这样就可以通过 Kubernetes API Server 访问该资源。...GCP元数据服务是GCP中的一个服务，可以提供有关GCE虚拟机（VM）实例的信息，例如该实例拥有的服务帐户以及该帐户的访问令牌。...Enabled函数用于确定是否启用GCP凭证提供者。Provide函数负责提供GCP凭证，如GCP服务帐户令牌和项目ID。runWithBackoff函数负责获取GCP服务帐户令牌并在失败时进行重试。...这些配置选项可以通过Kubernetes配置文件或命令行参数进行配置，用于确保Kubernetes API服务器在进行安全通信时具备良好的配置和管理能力。

8162 0

Python Web 深度学习实用指南：第三部分

在本章中，我们将介绍以下主题：设置您的 GCP 帐户在 GCP 上创建您的第一个项目在 Python 中使用 Dialogflow API 在 Python 中使用 Cloud Vision API...要运行本章中的代码，您的系统上需要安装 Python 3.6+。本章将介绍其他必要的安装。设置您的 GCP 帐户在继续使用 GCP 提供的 API 之前，您必须设置您的 GCP 帐户。...或之前注册时确实创建了任何项目，则其中一个项目将显示在标记的区域中（fast-ai-exploration 和 gcp-api 是我在 GCP 上创建的两个项目）。...总结在本章中，我们探讨了 GCP 提供的一些著名的突破性的基于深度学习的服务。我们学习了如何使用 Python 使用 Dialogflow 来构建可以随时间学习的对话式聊天机器人。...请注意，此示例接受任何grant请求，但是在您的实现中，您将使用代码和令牌来获取和存储访问令牌： if namespace == 'Alexa.Authorization': if

18.3K1 0

GitHub召开全球开发者大会！20000处产品改进，Copilot重磅更新

二是将这些小片段映射到现有的代码中，不管它是一个库、一个函数还是一个API。程序员应该在第一个问题上多花时间，而不是把大量时间消耗在第二部分，毕竟，大量的代码都是在重复别人之前所做的事情。...它能减少工程师通过API文档做苦工的时间，还能帮忙编写测试代码。「Copilot」超进化！这一次，编程助手Copilot，增加了对更多代码编辑器和更多语言的支持！...Codespaces云开发环境更新 GitHub Codespaces可以直接通过浏览器或Visual Studio Code启动新的开发环境。将创建一个新开发环境的时间从45分钟缩短到10秒。...自动验证存储在GHCR中的开发容器，无需提供个人访问令牌（PAT）。...通过标准化部署的工作流可以让团队执行最佳的实践，并实现更快速和稳健的进展；自动扩展自托管的运行器的API：通过扩大或缩小fleet来管理自己托管的基础设施成本，以应对特定的工作负载；基于Open ID

6102 0

如何使用Cliam测试云端环境IAM权限安全

关于Cliam Cliam是一款针对云端安全的测试工具，在该工具的帮助下，广大研究人员可以轻松枚举目标云端环境的IAM权限。...当前版本的Cliam支持下列云端环境：AWS、Azure、GCP和Oracle。...工具安装广大研究人员可以直接访问项目的【Releases页面】下载最新版本的Cliam（开发版，非稳定版）。...git clone https://github.com/securisec/cliam.git cd cliam make dev 工具使用 Cliam使用了从envars服务获取到的凭证或直接通过命令行接口传递参数来完成其操作...AWS 使用AWS Rest API和传递给工具的凭证信息来发送签名请求。

1.5K1 0

如何使用Cliam枚举云端环境IAM权限

1.5K2 0

CVE-2025-64495：Open WebUI存储型DOM XSS漏洞分析与利用

0.6.34或更低版本确保启用“Insert Prompt as Rich Text”功能使用低权限账户登录系统在提示输入框中插入恶意XSS payload依赖项漏洞复现不需要特殊依赖攻击利用可能需要外部服务器接收泄露数据...token='+localStorage.getItem('auth_token');典型攻击场景场景一：会话劫持攻击者在公共提示中插入恶意脚本管理员或其他用户查看该提示受害者的会话Cookie...被发送到攻击者控制的服务器攻击者使用窃取的Cookie接管会话场景二：权限提升与RCE利用XSS在管理员浏览器中执行脚本通过自动化操作调用管理员的“Functions”功能执行服务器端Python代码实现远程代码执行和系统控制攻击流程图示攻击流程遵循以下步骤...checkAdminPrivileges() { // 通过API端点或UI元素判断管理员权限 return document.querySelector('.admin-menu') !...const pythonCode = `import os; os.system('恶意命令')`; // 通过XHR或fetch调用Functions API

981 0

当Atlas遇见Flink——Apache Atlas 2.2.0发布！

距离上次atlas发布新版本已经有一年的时间了，但是这一年元数据管理平台的发展一直没有停止。Datahub，Amundsen等等，都在不断的更新着自己的版本。...Atlas 导出 API 中添加了对业务元数据的支持 Admin/AtlasTask API : 添加了对 admin/task API 的 HA 支持实体定义：提供了向已存在实体定义添加强制性属性...客户端：重构和增强的 Atlas Python 客户端，支持 Python 2.7 搜索：更新了自由文本搜索处理器以支持 Elasticsearch，支持带有特殊字符的搜索文本，优化分页批量词汇表导入...、Solr、groovy、netty、Kafka UI：修复了 Atlas Web UI 的一些问题，提高了大量分类和实体的情况下的加载速度 Docker 镜像：增强了对 Docker 的支持遇见Flink...Apache Flink：引入模型来捕获 Apache Flink 实体和关系也就是说目前Atlas已经默认增加Flink可以接受Flink的元数据了，但是Flink并没有公布对atlas的支持，捕获并发送元数据这部分还是需要做一些的工作

1K2 0

点击加载更多

使用git-wild-hunt来搜索GitHub中暴露的凭证

Google Workspace全域委派功能的关键安全问题剖析

代码测试工具Fortify 最新版本Fortify25.4发布，新增多个人工智能方向的风险类别

Github项目推荐 | 被昨天的股票吓哆嗦了吗，试试用Trump2Cash帮你赶紧脱坑

SkyPilot：一键在任意云上运行 LLMs

AI阅读APP的技术方案

基于Google云服务滥用的新型钓鱼攻击机制与防御策略研究

Fortify软件安全内容 2023 更新 1

安全研究 | 如何查看GitLab中的共享敏感数据

如何使用GDir-Thief提取Google People目录

oss-fuzz-gen：一款基于LLM的模糊测试对象生成与评估框架

GCP 上的人工智能实用指南：第一、二部分

GCP 上的人工智能实用指南：第三、四部分

听GPT 讲K8s源代码--pkg(四)

Python Web 深度学习实用指南：第三部分

GitHub召开全球开发者大会！20000处产品改进，Copilot重磅更新

如何使用Cliam测试云端环境IAM权限安全

如何使用Cliam枚举云端环境IAM权限

CVE-2025-64495：Open WebUI存储型DOM XSS漏洞分析与利用

当Atlas遇见Flink——Apache Atlas 2.2.0发布！

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐