文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

GitHub:OAuth 令牌被盗,数十个组织数据被窃

据悉,这类攻击事件被首次发现于4月12日,攻击者使用 Heroku 和 Travis-CI 两家第三方集成商维护的 OAuth 应用程序(包括 npm)访问并窃取了数十个组织的数据。...根据 Hanley 的说法,受影响的 OAuth 应用程序包括: Heroku Dashboard (ID:145909) Heroku Dashboard (ID:628778) Heroku Dashboard...4 月 12 日发现攻击者使用泄露的 AWS API 密钥,对 GitHub 的 npm 生产基础设施进行未经授权的访问。...这些API密钥可能就是攻击者使用窃取的 OAuth 令牌下载多个私有 npm 存储库后获得。...4月13日,在发现第三方 OAuth 令牌被盗窃后,GitHub已立即采取行动,通过撤销与 GitHub 相关令牌和 npm 对这些受感染应用程序的内部使用来保护数据。

89020

【安全设计】10种保护Spring Boot应用程序的绝佳方法

每天都会在现有的项目和库中发现新的漏洞,因此监视和保护生产部署非常重要。...斯奈德会拍快照并监控你的部署,这样当发现新的漏洞时,你可以通过你喜欢的频道,JIRA, slack或电子邮件自动通知你,并创建拉请求来为新的漏洞提供升级和补丁。...使CSRF保护 跨站点请求伪造是一种攻击,它迫使用户在当前登录的应用程序中执行不需要的操作。如果用户是普通用户,则成功的攻击可能涉及状态更改请求,如转移资金或更改电子邮件地址。...Vault使用被分配给策略的令牌,这些策略可以作用于特定的用户、服务或应用程序。还可以与常见的身份验证机制(如LDAP)集成以获得令牌。...构建一个简单的CRUD应用程序 使用Spring Security和Thymeleaf将基于角色的访问控制添加到您的应用程序中 安全性和API之旅 准备在Heroku上生产一个Spring Boot应用程序

4.5K30
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Spring Boot 与 Spring Security 的集成及 OAuth2 实现

    我们还自定义了一个登录页面,这样用户在访问受保护的资源时,会被重定向到该页面。 2....当用户尝试登录时,应用会重定向到 Google 的授权页面,用户授权后,Google 会返回一个授权码,应用使用该授权码换取访问令牌,并获取用户信息。 3....使用 OAuth2 保护 API 为了保护我们的 API,使其只能通过 OAuth2 授权访问,我们需要将应用配置为资源服务器。资源服务器负责保护资源(如 API),并验证访问令牌的有效性。...前端集成与访问受保护的资源 在前端应用中(如使用 React 或 Angular),当用户通过 OAuth2 登录成功后,应用会获取到一个访问令牌。...这个令牌需要在每次请求受保护的资源时附加在请求头中。

    3.8K10

    Kubernetes的Top 4攻击链及其破解方法

    当集群中的工作负载被公开暴露时,攻击者可以从受损的工作负载发送API请求,以探测集群并窃取有关其他集群资源的敏感信息。...如果在将pod部署到命名空间时未手动分配服务帐户,则Kubernetes将该命名空间的默认服务帐户令牌分配给该pod。 步骤2:利用 黑客渗透了一个使用默认设置的带有服务帐户令牌挂载的暴露的pod。...这可以防止特权容器被部署到集群中,使攻击者更难以在集群中保持持久性。...步骤3:横向 & 纵向移动 当集群中的应用程序使用受损的镜像时,攻击者可以执行恶意代码执行,访问工作负载可以访问的所有集群资源,如密钥、ConfigMaps、持久卷和网络。...了解有关ARMO平台以及它如何在攻击发生之前帮助您阻止攻击的更多信息。

    93110

    从全栈开发到微服务架构:一个Java工程师的实战之路

    **应:** 有过一些小问题,比如在Vue3中使用`defineProps`时需要正确导入类型定义。不过随着Vue3生态的发展,现在这些问题已经很少见了。...以下是一个简单的GitHub Actions配置文件示例,用于自动构建并部署到Heroku。...uses: heroku/actions/deploy@v1 with: api-key: ${{ secrets.HEROKU_API_KEY }...**应:** 是的,我们在生产环境中使用Kubernetes来部署微服务,利用其自动扩缩容和健康检查机制,提高了系统的稳定性。...用户登录后,服务器生成一个令牌返回给客户端,之后每次请求都会携带该令牌。 **面:** 有没有考虑过OAuth2? **应:** 是的,我们集成OAuth2来支持第三方登录,比如微信、QQ等。

    15510

    实用微服务

    在这篇文章中,我打算介绍微服务架构(MSA)的关键架构概念以及如何在实践中使用这些架构原则。 单体架构 企业软件应用程序旨在实现众多业务需求。...所有这些服务都部署到同一个应用程序运行环境。所以它是单体架构的一个很好的例子。以下是基于单体架构的应用程序的一些特性。 单体应用程序是作为一个单元来进行设计,开发和部署的。...部署 当涉及到微服务架构时,微服务的部署起着至关重要的作用,并具有以下关键要求。 能够独立于其他微服务部署/取消部署。 必须能够在每个微服务级别进行扩展(给定的服务可能会获得比其他服务更多的流量)。...安全 在实践中使用微服务时,保护微服务是相当普遍的要求。在进入微服务安全之前,让我们快速浏览一下我们通常如何在单一应用程序级别实现安全性。...所以,理想情况下,微服务和其他企业架构概念(如集成)的混合方法将更加现实。我将在另一篇博文中进一步讨论它们。 希望这可以让你更清楚地了解如何在企业中使用微服务。

    4.5K40

    10万 npm 用户账号信息被窃、日志中保存明文密码,GitHub安全问题何时休?

    “明文密码”的发现过程 今年 4 月 15 日,GitHub 披露了有攻击者通过偷来的 OAuth 用户令牌(原本发放给 Heroku 和 Travis-CI),可以有选择地从私人仓库下载数据。...该行为被发现后,GitHub、Travis CI 和 Heroku 撤销了所有 OAuth 令牌,以阻止进一步的黑客攻击。...在 github 上执行一次搜索删除密码操作可以发现,在 repo 中存储密码的情况非常普遍,简单的搜索就返回来 51 万次 commit 记录,这还没有覆盖到没有填写详细的 commit 信息,或者已经通过删除历史记录来掩饰活动的情况...根据北卡罗来纳州立大学的研究,通过对超过 100 万个 GitHub 帐户为期六个月的连续扫描,发现包含用户名、密码、API 令牌、数据库快照、加密密钥和配置文件的文本字符串可通过 GitHub 公开访问...“大多数安全漏洞并非来自非常复杂的攻击事件或是零日漏洞,相反,往往是一些低成本的攻击,如社会工程、密码泄露,以及其他为攻击者提供访问受害者账户的攻击。”

    2.5K20

    Chatgpt-Retrieval-Plugin—GPT AI插件 真正联网的人工智能

    该插件可以托管在任何支持 Docker 容器的云平台上,如 Fly.io、Heroku、Render 或 Azure Container Apps。...•服务级别:任何人都可以添加您的插件并使用其 API,而无需凭证,但您必须在注册插件时添加一个令牌。安装插件时,您需要添加您的令牌,然后将从 ChatGPT 接收的令牌包含在托管的清单文件中。...部署说明: •部署到 Fly.io[126]•部署到 Heroku[127]•部署到 Render[128]•其他部署选项[129](Azure 容器应用程序,Google Cloud Run,AWS...安装开发者插件 要安装开发者插件,请按照以下步骤进行操作: •首先,通过将开发者插件部署到您首选的托管平台(例如 Fly.io、Heroku 等)并更新插件 URL 在清单文件和 OpenAPI schema...Fly.io: /docs/deployment/flyio.md [127] 部署到 Heroku: /docs/deployment/heroku.md [128] 部署到 Render: /docs

    1.9K30

    从五个方面入手,保障微服务应用安全

    资源服务器 托管受保护资源的服务器,能够接收和响应使用访问令牌对受保护资源的请求。 客户端 使用资源所有者的授权代表资源所有者发起对受保护资源的请求的应用程序。...对访问令牌时间较短如2分钟,刷新令牌为一次性令牌有效期略长如30分,如果存在已作废的刷新令牌换取访问令牌的请求,授权端点也能够及时发现做出相应入侵处理,如注销该用户的所有刷新令牌。...其他说明: 为了前端会话保持,访问令牌由网关在响应时返回到前端,存储到前端存储空间,如Cookie、Local Storage、Session Storage等。...我的答案是不需要,否则太麻烦了。通常网关是独立团队负责,API变更发布、内部联调验证还得跨团队协调实在不可行。推荐系统内直通不走网关,系统之间访问必须走网关。...用户访问应用功能时需要进行权限控制 用户访问的功能权限或数据权限不要交给网关管控,原因是网关仅能支持API Path授权,而实际需要控制的用户权限有很多,如菜单、API、数据等。

    3.5K20

    如何将 github 上的代码一键部署到服务器?

    在 Github 上看到一些不错的仓库,想要贡献代码怎么办? 在 Github 上看到一些有用的网站,想部署到自己的服务器怎么办? 。。。 我想很多人都碰到过这个问题。...如果要贡献代码,之前我的做法通常是将代码克隆到本地,然后在本地的编辑器中修改并提交 pr。...如果想部署到自己的服务器,之前我的做法通常是克隆到本地,然后本地修改一下部署的配置,最后部署到自己的服务器或者第三方的云服务器(比如 Github Pages)。...它是如何实现的呢? 我是一个喜欢探究事物原理的人,当然对它们的原理了如指掌才行。其实它的原理很容易,我们从头开始说。 1. 如何在 Github 中显示发布按钮。...如果 ta 提供了一键部署,那么就可以直接部署到自己的云服务器,生成自己的 url。关联自己的 git 之后,推送还能自动部署(CD)。而且这一切都可以是免费的,至少我现在用的是免费的。

    13.6K31

    在Heroku上部署Node.js

    今天,我们将演示如何在Heroku上部署Node.js应用。Heroku官方提供免费帐户使用,在此之上,我们最多可以托管5个应用程序。但如果你有大量需求的话,就需要购买特殊账户。...我接下来要用来示范的Node.js应用便是我在这里(点击访问)创建的,请务必认真看看这个链接所指向的文档。...例如在文件名是app.js的情况下,Procfile文件中的代码便为web: node app.js。 让我们开始部署吧 步骤1 打开cmd,并找到项目的目录位置。...这个命令是为了将位于当前项目目录下的所有文件信息添加到索引库中: 第3步 下一步是将文件的更改信息写入到创建的git仓库中。...您可以在上面的屏幕截图中看到,在最终部署之后,将看到一个URL(红圈标注),您可以使用它来访问您的应用程序。 相关的参考资料: Node.js

    4.9K80

    保护微服务(第一部分)

    保护微服务(第一部分) 面向服务的体系结构(SOA)引入了一种设计范式,该技术讨论了高度分离的服务部署,其中服务间通过标准化的消息格式在网络上通信,而不关心服务的实现技术和实现方式。...Sam Newman所著的《构建微服务》是一本非常棒的书,当你阅读它时,你会意识到,微服务不仅仅是SOA,这不仅仅是一个架构模式 - 而是围绕一个架构模式的新文化建设,由主要目标驱动 - 更快的部署或生产速度...构建微服务〜设计细粒系统 在保护微服务方面有多种观点: 安全开发生命周期和测试自动化:微服务背后的关键推动力是生产速度。人们应该能够对服务进行更改,对其进行测试并立即将其部署到生产环境中。...保护服务间的通信 在这篇博文中,我将讨论两种保护服务到服务通信的方法。一个基于JWT,另一个基于TLS相互认证。...采用这种方法,只有来自外部客户端的API调用才会通过API网关。当一个微服务与另一个微服务对话时则不需要通过网关。

    3.1K50

    浏览器中存储访问令牌的最佳实践

    问题是,如何在JavaScript中获取这样的访问令牌?当您获取一个令牌时,应用程序应该在哪里存储令牌,以便在需要时将其添加到请求中?...因此,在使用localStorage时,请考虑终端安全性。考虑并防止浏览器之外的攻击向量,如恶意软件、被盗设备或磁盘。 根据上述讨论,请遵循以下建议: 不要在本地存储中存储敏感数据,如令牌。...下面的摘录显示了如何在JavaScript中使用内存处理令牌的示例。...在使用JavaScript闭包或服务工作者处理令牌和API请求时,XSS攻击可能会针对OAuth流程,如回调流或静默流来获取令牌。...黑客甚至可以将攻击扩展到除JavaScript应用程序使用的API之外的其他API。例如,攻击者可以尝试重放访问令牌并利用不同API中的漏洞。

    3.3K10

    主流 PaaS 平台架构:谷歌GAE、AEB、Cloud Foundry、Heroku

    GAE有自己的云平台 SDK库,使应用程序能快速地部署和运行到云上。 在这个架构下应用流量可被路由到多个版本以支持 A/B 测试。...在创建一个 Enviroment 时,AWS Elastic Beanstalk 规定了运行应用所需的资源,下图的资源包括负载均衡器(Elastic Load Balancer)、一个自动伸缩功能组和多个...针对部署工作,它定义了一套 REST API,底层基于 Ruby 命令行工具来与版本控制器交互,在这个平台上你可以使用 CVS、Subversion、Git 等各种版本的控制器,而不是仅限其一。...Heroku 的路由模块被称为 Hermes,采用 Erlang 语言编写,其能够动态感知一个应用中包含多少个 dyno,基于一定的策略进行任务分发,另外我们还可以设置超时保护机制,在Hermes 上就拒绝掉外部请求...Heroku 就为这些后端服务的访问定义了一套 add-ons API,从而实现了代码与某个固定服务的解耦。在 Heroku 上最流行的后端服务是 PostgreSQL 数据库。

    8.5K20

    【安全】如果您的JWT被盗,会发生什么?

    为了帮助完整地解释这些概念,我将向您介绍令牌是什么,它们如何被使用以及当它们被盗时会发生什么。最后:如果你的令牌被盗,我会介绍你应该做什么,以及如何在将来防止这种情况。...这篇文章的灵感来自StackOverflow这个问题。我对这个问题的回答已成为我迄今为止对StackOverflow最受欢迎的回复之一! 什么是令牌?...在此示例中,您的API密钥是您的“令牌”,它允许您访问API。 然而,当大多数人今天谈论令牌时,他们实际上是指JWT(无论好坏)。 什么是JSON Web令牌(JWT)?...当客户端将来向服务器发出请求时,它会将JWT嵌入到HTTP Authorization标头中以标识自己 当服务器端应用程序收到新的传入请求时,它将检查是否存在HTTP Authorization标头,如果存在...如果您的用户通常在您的网站上每分钟发出五个请求,但突然之间您会注意到用户每分钟发出50多个请求的大幅提升,这可能是攻击者获得保留的良好指标用户的令牌,因此您可以撤消令牌并联系用户以重置其密码。

    13.7K30

    三周学会小程序第三讲:服务端搭建和免费部署

    这样一来你就掌握了项目和本地部署的技能,那么微信小程序需要访问远端的地址才能工作,怎么部署到远端呢?...我填写的是 jiuask, 这样我就会得到一个免费的域名 jiuask.herokuapp.com。这样我们就拥有一个免费的服务器了,是不是很简单?那接下来我们部署服务吧?...3,输入如下命令,当然后面的 jiuask 应该是你的名称: heroku git:remote -a jiuask 这个步骤就是在添加一个 Heroku 的 Git 仓库,当你提交代码到 Heroku...-1.0.0.jar 所以每当我运行部署的时候,Heroku 帮我们执行了一下 Procfile 文件,所以如果你的没有部署成功,仔细检查一下自己的配置是否正确。...小编提示:heroku help 命令是一个百科全书哦。 我是浪漫的分割线 问答 如果您对本系列文章有兴趣,欢迎置顶本订阅号,第一时间获取更新。

    2.6K10

    ngrok 是什么,我们为什么要使用它?

    ngrok 是一个统一的入口平台,因为它将所有组件整合到一个组件中,将您的服务传输到互联网。ngrok将您的反向代理、负载平衡器、API网关、防火墙、交付网络、DDoS保护等整合在一起。...本地预览:在没有服务器的时候向客户演示在本地机器上运行的网站,而无需部署到远程服务站点。 移动后端测试:针对正在本地机器上开发的后端测试您的移动应用程序,尤其适合小程序开发的需求场景。...生产入口 API网关:使用ngrok的HTTP模块来保护、加速和转换流量到您的生产API。...首先: 这意味着您可以在任何地方运行服务——任何云,如AWS或Azure,任何应用程序平台,如Heroku,本地数据中心,家中的树莓派,甚至在笔记本电脑上。...请记住,当您重新启动ngrok时,如果您没有指定应用程序URL更改的--domain标志,请务必访问新的。

    4.4K10
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券