文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

Google Workspace全域委派功能的关键安全问题剖析

: 启用了全域委派权限后,恶意内部人员可以冒充Google Workspace域中的用户并使用访问令牌来验证API请求。...服务帐户是GCP中的一种特殊类型帐户,代表非人类实体,例如应用程序或虚拟机。服务账户将允许这些应用程序进行身份验证并于Google API交互。...比如说,如果授权范围仅是/auth/gmail.readonly,则服务帐户在代表用户执行操作时将有权读取用户的Gmail邮件该用户的数据,但不包括其其他工作区数据,例如对云端硬盘中文件的访问权限; 2...如果请求有效并且服务帐户已被授予必要的全域委派权限,则令牌节点将使用访问令牌进行响应,应用程序可以使用此访问令牌在请求的范围限制内跨域访问用户数据; 3、API访问:应用程序在 API 请求中包含访问令牌作为身份认证...下图显示的是全域委派操作流程: 获得全域委派权限后,Google Workspace中的服务账户将能够访问用户数据,并代表用户向Google API发送身份认证请求。

2.3K10

业界 | 谷歌版“剑桥分析事件”上演,华尔街日报发文谴责,谷歌长文回应

据悉,这个BUG的本质是Google+ People API允许用户访问自己和朋友的个人资料数据,这无意中也允许第三方应用程序删除未被标记为公开的个人资料,包括姓名、电子邮件地址、职业和性别等。...之前允许第三方应用程序请求访问数据时,你可以一次性的允许。现在,你必须对每一次的请求点击确认。...例如,如果开发人员请求访问日历条目和驱动器文档,您将能够选择共享其中的一项而不是其他的。...当应用请求访问您消费者版Google帐户中的任何数据时,这就是现在所见的过程(您始你可以选择是否授予该权限请求): ? 发现3:当用户授予应用其Gmail的访问权限时,他们会考虑某些特定情况。...行动3:我们开始限制允许的用例类型。 我们正在更新针对消费者版本Gmail API的用户数据政策,以限制可能获得访问消费者版Gmail数据权限的应用。

2K50
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    从0开始构建一个Oauth2Server服务 授权范围 Scope

    授权范围 Scope 范围是一种限制应用程序访问用户数据的方法。与其授予对用户帐户的完全访问权限,不如让应用程序能够代表用户请求更有限范围内允许它们执行的操作,这通常很有用。...如果用户确切知道应用程序可以用他们的帐户做什么和不能做什么,他们将更愿意授权应用程序。范围是一种控制访问并帮助用户识别他们授予应用程序的权限的方法。 请务必记住,作用域与 API 的内部权限系统不同。...按功能有选择地启用访问 范围的一个重要用途是根据所需的功能有选择地启用对用户帐户的访问。例如,Google 为其各种服务(如 Google Drive、Gmail、YouTube 等)提供了一组范围。...这意味着需要访问 YouTube API 的应用程序不一定也能够访问用户的 Gmail 帐户。 Google 的 API 是有效使用范围的一个很好的例子。...Google 为其所有服务(包括 Gmail API、Google Drive、Youtube 等)提供单一授权端点。

    1.1K30

    从0开始构建一个Oauth2Server服务 用户登录及授权

    在谷歌的API中,应用程序可以添加prompt=login授权请求,这会导致授权服务器强制用户重新登录,然后才会显示授权提示。...例如,当登录 Gmail 时,您不会期望 Google 询问您 Gmail 是否可以知道您的帐户信息,因为应用程序 (Gmail) 和 OAuth 服务器都是同一公司产品的一部分。...但是,如果您登录到将从您的 Gmail 帐户发送电子邮件的第三方邮件列表应用程序,那么作为用户的您了解该第三方应用程序将被授予访问权限的内容以及它将是什么变得至关重要可以使用您的帐户。...但是有些服务默认提供有限的令牌生命周期,要么允许应用程序请求更长的生命周期,要么强制用户在授权过期后重新授权应用程序。...允许否认 最后,授权服务器应向用户提供两个按钮,以允许或拒绝请求。如果用户未登录,您应该提供登录提示而不是“允许”按钮。 如果用户批准请求,授权服务器将创建一个临时授权码并将用户重定向回应用程序。

    95830

    第三方开发者可以访问Gmail邮件?Google回应

    本周一,华尔街日报的一篇报道提到了该事件:尽管Google去年终止了Gmail广告客户的数据挖掘服务,但它仍然留下了开放API供人使用。...Google的电子邮件平台Gmail的访问设置允许用户选择与第三方开发者共享数据,其中包括用户的个人内容和详细信息。...此外,第三方应用也可以通过插件访问Gmail以及几乎其他任何电子邮件平台,以非常宽泛的范围(从消息内容和位置到相机和麦克风访问)请求用户的个人信息。...值得注意的是,Return Path和Edison这两家公司都告诉华尔街日报他们的做法已经在用户协议中涵盖;同样,如果未获得同意,则会违反Google自己的开发者协议,该协议要求用户在通过API获取“非公开内容...你可以采取以下措施: 转到Google的“我的帐户”页面,如果你还没有登录,请使用你的Gmail账号密码登录 登录后,你将能够查看并查看你已授权访问Google帐户的所有第三方应用,包括Gmail 有权访问

    2.5K20

    快讯 | Gmail邮件门:第三方开发者可能正在读你的邮件!

    Gmail内部的访问设置并允许数据公司以及应用开发者访问用户的私人邮件,包括收件人地址,时间戳等信息。虽然这些应用程序确实需要获得用户的同意,但是同意条款表达的信息并不清晰。...目前不清楚的是,这些外部开发者如何严守协议,谷歌是否采取了措施来确保这些外部开发者遵守协议,Gmail用户是否得到通知谷歌雇员会阅读他们的邮件。...虽然谷歌说从那时起它已经做了很多改进,但是这次的事情暴露了谷歌权限系统的漏洞。 如何预防 那么,如何了解哪些应用程序访问你谷歌帐户以及如何阻止它们?...要进入google帐户页面,需要从Gmail帐户右上角的app菜单中选择“Account”图标,或者访问myaccount.google.com网站。...而谷歌帐户授权的第三方程序,不仅仅能够得知你的名字以及电子邮件等信息。实际上,根据授权协议,这些程序可以对你帐户中基本上所有信息进行操作。

    1.4K50

    谷歌宣布封停Google+,50万用户信息泄露

    解决方案1:封停Google+。 多年来,谷歌收到的反馈是,希望可以更好地了解如何控制用户在Google+上分享的数据。...解决方案2:启动更详细的Google帐户权限,并显示在各个对话框中。...简单来说,以后用户在Google+上面对权限请求的时候,不会再是众多请求堆积在一个界面,而是在应用程序自身的对话框中,一次显示一个权限请求。...解决方案3:限制允许的用例类型。 针对消费者Gmail API的用户数据政策正在进行更新,以限制可能获得访问消费者Gmail数据权限的应用。...某些Android应用会要求获得访问用户手机(包括通话记录)和短信数据权限。 展望未来,Google Play将限制允许哪些应用请求这些权限。

    1.3K40

    基于Google云服务滥用的新型钓鱼攻击机制与防御策略研究

    攻击者利用API直接向用户的任务列表添加条目,或创建日历事件。系统会自动向用户发送电子邮件通知,发件人显示为"Google Calendar"或"Google Tasks"。...2.2.2 OAuth授权请求钓鱼这是一种更为隐蔽且危害更大的方式。攻击者不直接发送含链接的邮件,而是诱导用户进行OAuth授权。...建立应用白名单机制:在Google Admin Console中,配置“第三方应用访问”策略,禁止用户自行授权未经批准的第三方应用。仅允许经过IT部门安全评估并列入白名单的应用进行OAuth授权。...4.4 技术检测逻辑示例为了实现对异常OAuth授权行为的自动化检测,以下是一个基于Python的逻辑示例,展示如何分析Google Audit API日志以识别潜在的恶意授权活动。...该脚本展示了如何通过分析授权频率和权限范围来识别潜在的恶意应用。在实际部署中,此类逻辑应集成到企业的SOC(安全运营中心)平台中,实现实时告警与自动化响应(如自动吊销令牌、隔离用户账户)。

    12810

    Google Earth Engine(GEE)—有JS和python为什么GEE还要使用rgee?

    谷歌地球引擎是一个计算平台,允许用户在谷歌的基础设施上运行地理空间分析。...认识地球引擎 用户必须考虑到地球引擎 API 和高级地球引擎功能是实验性的,可能会发生变化。访问受到限制,需要通过表单请求访问。查看地球引擎官网获取更多信息。 5....组成该组的依赖项是: 已激活 Earth Engine 的 Google 帐户 Python >= v3.5 EarthEngine Python API(Python 包) 地球引擎账号的激活因用户而异...组成该组的依赖项如下所示: Google 云存储凭据 Google 云端硬盘凭据 请参阅下一节以了解如何正确设置这两个凭据。 7....= 'csaybar@gmail.com', drive = TRUE, gcs = TRUE) 如果 Google 帐户已通过验证并授予权限,您将被定向到身份验证令牌。

    1.5K10

    全面了解 google 的 Zanzibar

    类似的授权请求也发生在日历、云端硬盘、地图、照片、YouTube 等。 第三,谷歌在权限系统之上构建了通用基础设施,只有当你有一个一致的 API 来编程时,你才能做到这一点。...所有授权用户都应能够与受保护的资源进行交互,并且不应允许未经授权的用户与受保护的资源进行交互。 起初这似乎很容易,直到您开始考虑计算机(尤其是大规模托管应用程序)必须应对的挑战。...最后,随着 Google 的运营规模极大,Google Zanzibar 还必须扩展到每秒数百万个授权请求,跨数十亿用户和数万亿个对象。 对开发人员来说,Google 桑给巴尔是什么?...该 API 允许您外包用户和数据关系,然后让您在访问点快速准确地做出权限决策。例如,当新用户注册时,您告诉 Google Zanzibar。...当该用户创建受保护的资源(例如文档、视频或银行帐户)时,您告诉 Zanzibar。当该用户与其他用户共享资源或创建相关资源时,您告诉 Zanzibar。

    30010

    开放授权之道:OAuth 2.0的魅力与奥秘

    以下是一些不同场景下如何灵活应用OAuth 2.0以及一些实际项目中的成功案例: 应用场景: 社交媒体登录: 许多网站和应用程序使用OAuth 2.0允许用户通过其社交媒体账户(如Google、Facebook...这样的场景下,社交媒体平台充当授权服务器,提供访问令牌。 第三方应用集成: 允许第三方应用程序访问用户的资源,例如日历、联系人等。用户可以授予访问权限,而无需提供他们的用户名和密码。...成功案例: Google API: Google使用OAuth 2.0来允许第三方应用程序访问用户的Google服务,例如Gmail、Google Drive等。...开发者通过OAuth 2.0获得访问令牌,以访问用户的数据。 GitHub: GitHub采用OAuth 2.0用于授权开发者在他们的GitHub帐户中访问资源。...Facebook API: Facebook使用OAuth 2.0来允许开发者通过API访问用户的Facebook数据,例如个人资料信息、相册等。

    89011

    G Suit 介绍

    APIs & libraries 144/5000 为工作表,幻灯片,Gmail,日历,人,驱动器,目录,报告,保险库,Hangouts聊天,网站,和更多的应用程序和管理api的REST api。...加入我们的开发者工具和api的扩展“世界之旅”,在接下来的18年的云端分会场,用Gmail,谷歌驱动器,日历,文档,表格,幻灯片和更多的功能来支持你的应用。...与G套件交互的api 我们的REST api允许您的应用程序与用户的邮件、日历、联系人和其他数据集成。 用于域管理员的api和工具 G套件市场 可以添加到G Suite域的企业应用程序。...电子邮件审计API 审核域内用户的电子邮件、电子邮件草稿和存档聊天记录,检索帐户登录信息,并下载用户的邮箱。...电子邮件设置API 管理用户级别的电子邮件帐户设置,包括用户邮件设置屏幕中显示的大多数选项。

    4.7K20

    实战教程:如何在API监控中实现高效报警和通知

    问题 因一业务需要,想要对API服务接口添加一些监控,以帮助跟踪应用程序的性能、问题和用户活动等。...实现监控的方式有多种多样的方式,以下是一些常用的方法: 日志记录: 在应用程序中添加详细的日志记录,包括请求日志、错误日志以及关键操作的日志。...这需要配置一个发送电子邮件的邮箱帐户。 短信通知: 如果希望通过短信发送通知,可以使用短信通知服务提供商的 API,如 Twilio 或 Nexmo。这些服务允许通过 API 发送短信通知。...下面是一个示例,演示如何使用 Python 的 smtplib 库来发送电子邮件通知的基本代码,这里使用的是Gmail: import smtplib from email.mime.text import...为了确保帐户安全,请使用“使用 Google 登录”将应用程序连接到 Google 帐户。 可以使用"app passwords"解决上述用户名密码问题,用户名不变,改用app密码即可。

    2K60

    Gmail凭证泄露事件中的撞库与OAuth钓鱼攻击分析

    由于界面整体风格与Google一致,普通用户极易误判为官方流程,从而点击“允许”。...攻击者控制员工邮箱后,可:伪造来自高管或IT部门的邮件,诱导同事点击恶意链接;利用日历邀请功能嵌入钓鱼URL;通过API访问共享云端硬盘(Drive)中的敏感文档;将受害账户作为可信发件人,绕过企业邮件网关的...4.2 OAuth第三方授权审计用户应定期审查Google账户中的第三方应用授权列表,撤销不必要或可疑项。...企业可利用Workspace Admin Console导出所有用户的OAuth授权记录,进行集中审计:# 使用 Google Admin SDK Directory API 获取用户授权应用from...数据聚合翻炒:如本次事件,核心风险在于用户自身凭证复用与授权疏忽,响应重点应为:向用户推送针对性安全教育(如如何识别OAuth钓鱼);审计高权限账户的第三方授权;加速Passkey部署;监控异常协议登录行为

    39210

    圣地亚哥大学紧急预警,一场针对“知识金矿”的数字围猎正在上演

    例如,一个名为“USD Course Scheduler”的Google Workspace插件,请求获取用户Gmail只读权限和日历访问权。...一旦授权,它就能:读取所有邮件,包括含验证码的双因素认证(2FA)短信;扫描日历中的会议邀请,推断用户身份(如“博士生资格答辩”);自动回复邮件,传播更多钓鱼链接。...这种攻击完全绕过密码输入环节,因为用户是在Google官方授权页面点击“允许”的。而USD师生使用的正是Google提供的“ToreroMail”服务。...“这是当前最棘手的威胁之一,”芦笛强调,“因为它披着‘合规’外衣。普通用户无法分辨一个请求‘查看邮件’的插件是否真的需要这个权限。”...账户用户可访问 myaccount.google.com/permissions 撤销可疑授权;安装浏览器扩展:如Netcraft、uBlock Origin(可拦截已知钓鱼域名)。

    11210

    假冒App引发的新网络钓鱼威胁

    然而,实际上,网络钓鱼仍然是全球企业和消费者面临的最大威胁之一。 而且情况将变得更糟。 5月3日,有100万Gmail用户收到自己的某个邮箱联系人发来的假冒谷歌文档分享请求并遭受攻击。...取代密码的是,用户同意应用程序的(可能不止一项)权限请求,然后为其提供OAuth令牌,该令牌可用于访问用户帐户的全部或部分内容。 这里是一些热门服务的OAuth权限的例子。 这次攻击发生了什么?...OAuth网络钓鱼的本质——欺骗服务供应商允许一个app,然后说服消费者授予其帐户访问权限。...如果用户点击接受此请求,将被重新转到服务供应商的真实网站(例如accounts.google.com或api.login.yahoo.com)以完成授权过程。...幸好OAuth攻击无法隐藏黑客的权限请求,给了用户最后一次机会,在为时已晚之前刹车。 企业如何控制损失? 没有企业每次都能防范网络钓鱼攻击,特别是当它们像OAuth攻击一样先进时。

    1.9K50

    新一轮Gmail钓鱼攻击来袭:实时代理与品牌伪装让“高仿”更逼真

    近期,全球数百万Gmail用户面临一场升级版的网络钓鱼威胁。...这使得流量特征与真实用户高度一致,降低了被谷歌风控系统识别为异常的概率。...通知抑制与二次扩散:一旦账户被成功劫持,攻击者会立即通过API操作,关闭账户的“新设备登录通知”或“可疑活动提醒”,防止用户警觉。...这就像一把只能开特定锁的物理钥匙,复制模型没用。”用户如何自保?专家给出五条“生存指南”面对如此高明的攻击,普通用户并非束手无策。...定期审查授权应用:登录Google账户,进入“安全性”>“第三方应用访问权限”,检查并移除所有不熟悉或不再使用的应用。特别留意那些请求“读取邮件”“管理联系人”等高权限的应用。

    60210

    Google JavaScript API 的使用

    入门 您可以使用JavaScript客户端库与Web应用程序中的Google API(例如,人物,日历和云端硬盘)进行交互。请按照此页面上的说明进行操作。...如何发出API请求 有几种方法可以使用JavaScript客户端库发出API请求,但是它们都遵循相同的基本模式: 该应用程序加载JavaScript客户端库。...选项1:加载API发现文档,然后组合请求。 以下示例假定用户已经登录。有关如何登录用户的完整示例,请参见完整的auth示例。...设定 取得Google帐户 首先,如果您还没有Google帐户,请注册一个。 创建一个Google项目 转到Google API控制台。单击创建项目,输入名称,然后单击创建。...获取您的应用程序的访问密钥 Google定义了两个级别的API访问权限: 水平 描述 要求: 简单 API调用不会访问任何私人用户数据 API密钥 已授权 API调用可以读写私有用户数据或应用程序自己的数据

    4.8K20

    谷歌将彻底淘汰10年前发布的Android版本

    全球移动和平板电脑 Android 版本市场份额 - 2021 年 7 月 官方Android官方论坛的社区经理Zak Pollack宣称,谷歌不允许用户在安装Android 2.3.7及更低版本的设备上登录谷歌账户...假若用户尝试在低版本设备上添加电子邮件或日历帐户,使用谷歌邮箱、YouTube和谷歌地图这些软件时,用户可能会遇到用户名或密码错误。...要么使用网络浏览器访问这些服务,通过myaccount.google.com访问 Google 帐户: 打开手机的浏览器应用程序 要访问您的帐户:转到myaccount.google.com 要使用...Gmail:转到mail.google.com 输入您的用户名和密码 或是把设备更新到基于Android 3.0或者更高版本的系统。...,然后将登录请求转发到操作系统。

    1.1K10
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券