尽管使用了刷新令牌，Google Ads API仍显示“令牌已过期或被吊销” - 腾讯云开发者社区

文章/答案/技术大牛

发布

高级OAuth钓鱼攻击的演化机制与防御体系构建

尤其在Microsoft 365、Google Workspace等企业生产力平台中，OAuth被深度集成于单点登录（SSO）、API调用、跨应用数据共享等关键场景。...该参数指示授权服务器在用户已登录且先前已授予权限的情况下，不显示任何UI直接返回令牌。...攻击者利用刷新令牌可无限续期访问令牌，实现长期潜伏。...4.3 响应层：令牌吊销与密钥轮换一旦发现异常授权，应立即吊销相关刷新令牌：POST /v1.0/users/{user-id}/invalidateAllRefreshTokens HTTP/1.1Authorization...5 讨论与挑战尽管上述措施可显著提升防御能力，但在实践中仍面临挑战。

2931 0

钓鱼邮件“精准制导”升级：Outlook与Gmail成重灾区，企业身份防线告急

过去，钓鱼邮件常因语法错误、奇怪域名或夸张语气被一眼识破。但如今的攻击者，已学会“穿上西装打领带”。...页面不仅复刻了Microsoft 365登录界面，还动态显示受害者的真实姓名、部门甚至最近登录设备型号——这些信息来自此前泄露的数据或公开API。...一旦同意，攻击者即获得访问用户邮箱、日历、联系人的API权限，且该令牌长期有效，难以察觉。...建立快速响应机制一键冻结账户：SOC接到报告后5分钟内禁用账号；会话吊销：通过Microsoft Graph API或Google Admin SDK，立即终止所有活跃会话；# Microsoft Graph...PowerShell 示例：吊销用户所有刷新令牌Revoke-AzureADUserAllRefreshToken -ObjectId "user@company.com"6.

2581 0

您找到你想要的搜索结果了吗？

是的

没有找到

网络钓鱼对金融行业安全的威胁机制与防御体系构建

例如，攻击者在捕获OAuth授权码后，通过合法Token Endpoint兑换访问令牌（Access Token）与刷新令牌。后者有效期可达90天以上，且可在后台持续刷新，形成持久化访问通道。...在金融场景中，此类令牌可被用于：读取客户邮件中的交易确认信息；访问云存储中的财务报表或合同；通过API调用发起资金转账（若权限配置不当）；作为跳板横向移动至内部业务系统。...此类攻击因全程使用合法协议与有效令牌，难以被传统SIEM系统识别为异常。...定期审计与自动清理：利用Microsoft Graph API或Google Admin SDK定期扫描已授权应用，自动吊销60天未使用的令牌，并标记异常权限组合（如同时请求邮箱与云存储访问）。...短时效操作令牌：对敏感操作（如API密钥重置）生成一次性、5分钟内有效的操作令牌，通过企业IM或硬件令牌分发，避免长期凭证暴露。

1791 0

云邮箱钓鱼攻击趋势与企业防御体系重构

值得注意的是，攻击成功后的横向移动成本极低——一旦获取有效会话令牌或MFA绕过权限，攻击者可直接访问企业通讯录、日历、OneDrive/Google Drive文件乃至财务审批流程，造成数据泄露、商业欺诈甚至供应链污染...（3）伪共享文件诱导：邮件正文声称“您被邀请查看一份重要合同”，并附带指向Google Docs或OneDrive的链接。点击后跳转至高仿登录页，要求重新认证以“查看受限内容”。...典型流程如下：用户在钓鱼页面输入凭据；攻击脚本实时将凭据转发至真实登录接口，完成身份验证；获取有效的会话Cookie或OAuth 2.0访问令牌；直接注入浏览器或API调用，绕过MFA校验。...3 防御失效根源分析3.1 身份验证模型的固有缺陷当前多数企业仍依赖“密码+MFA”的双因素模型，但该模型存在两个根本问题：第一，密码作为共享密钥，本质上不可撤销且易被钓鱼。...关键措施包括：自动化会话吊销：通过API批量注销用户所有活动会话；凭据紧急重置：强制更改密码并撤销刷新令牌；行为回溯：利用审计日志定位首次异常活动时间点。

2281 0

实现“永久登录”：针对蜻蜓Q系统的用户体验优化方案（前端uni-app+后端Laravel详解）-优雅草卓伊凡

“永久登录”或“记住我”的实现原理：核心在于 “自动刷新令牌” 和 “持久化存储令牌” 的结合。...令牌轮转与回收：每次使用 Refresh Token 或 Remember Me Token 换取新的 Access Token 时，使旧的令牌失效并颁发新令牌。...这可以检测到令牌是否被盗（如果旧的令牌被再次使用，则说明有风险，立即吊销该用户的所有令牌）。流程：首次登录：用户输入账号密码，并选择“记住我”。...如果没有（已过期），则尝试使用 Refresh Token 刷新。如果 Refresh Token 也过期了，则检查是否存在有效的 Remember Me Token。...三、后端开发（PHP + Laravel）要做的内容我们假设使用 Laravel Sanctum（API 令牌认证）或 Laravel Passport（OAuth2 服务器）来实现。

4181 0

API NEWS | 谷歌云中的GhostToken漏洞

漏洞的根本原因与Google Cloud管理应用程序的生命周期有关，具体地说，与应用程序相关的OAuth2令牌如何被管理有关。...Venture Beat上的一篇文章引用了最近Gartner的研究结果，该研究显示，虽然97%的组织都有零信任的倡议，但到2026年，只有其中10%将实施可衡量的计划。...API令牌管理：对API访问进行令牌管理。为每个用户或应用程序发放唯一的API令牌，并定期刷新这些令牌以增强安全性。禁用或撤销不再使用的令牌。...强制实施递增身份验证：访问敏感终结点时，强制实施额外的安全层，例如使用 MFA 或其他质询。确保存在可靠的吊销过程：如果发生泄露，请确保具有可靠的过程，以便能够撤销然后重新颁发受影响的密钥或令牌。...定期审查和更新安全证书和密钥：如果您使用证书或密钥进行身份验证和加密，请确保定期审查和更新它们，以防止被泄漏或滥用。

1.6K2 0

基于Google云服务滥用的新型钓鱼攻击机制与防御策略研究

凭证窃取与会话劫持：一旦用户点击链接并完成授权，攻击者即可获得访问令牌（Access Token）和刷新令牌（Refresh Token），从而在不需知道用户密码的情况下，长期控制受害者的邮箱、云盘或日历...攻击者利用API直接向用户的任务列表添加条目，或创建日历事件。系统会自动向用户发送电子邮件通知，发件人显示为"Google Calendar"或"Google Tasks"。...关键在于，该同意屏幕上显示的应用名称和图标是攻击者预先配置好的，极易被误认为是企业内部系统。用户习惯性地点击“允许”，攻击者随即获得授权令牌。...令牌生命周期管理空白：一旦授权，刷新令牌通常长期有效，除非用户主动撤销或管理员强制吊销。攻击者可以利用这一机制长期潜伏，即使修改了用户密码，只要令牌未失效，访问权依然存在。...高权限应用被低权限账户授权。令牌生命周期管理：实施严格的令牌轮换策略。对于敏感应用，缩短刷新令牌的有效期，或在检测到异常活动时强制吊销所有相关令牌。

1481 0

Gmail凭证泄露事件中的撞库与OAuth钓鱼攻击分析

尽管Google会对高频失败尝试实施IP封禁，但攻击者常采用代理池（Proxy Pool）或僵尸网络分散请求源，规避检测。...[立即验证]点击链接后，用户被重定向至Google官方OAuth授权页面（URL以accounts.google.com开头），但下方显示的应用名称和权限描述由攻击者控制。...其中，刷新令牌有效期极长（通常无明确过期时间，除非用户显式撤销或长时间未使用），且可用于无限次获取新的访问令牌，即使用户更改了账户密码。...3.3 刷新令牌的长期有效性为提升用户体验，主流IdP（Identity Provider）普遍采用长期有效的刷新令牌机制。这虽减少频繁登录，却为攻击者提供了持久化后门。...5 组织响应策略的优先级划分面对“数据泄露”类事件，组织需冷静区分两类情形：真实后端泄露：如Google数据库被拖库，需立即强制全量密码重置、吊销所有会话与令牌，并启动事件响应流程。

3981 0

分享一篇详尽的关于如何在 JavaScript 中实现刷新令牌的指南

介绍刷新令牌允许用户无需重新进行身份验证即可获取新的访问令牌，从而确保更加无缝的身份验证体验。这是通过使用长期刷新令牌来获取新的访问令牌来完成的，即使原始访问令牌已过期也是如此。...OAuth 2.0 和 JWT OAuth 2.0 是一种开放的授权标准，使应用程序能够通过授权服务器访问资源服务器（通常是 API）上的资源所有者（通常是用户）的资源。...因此，如果我们根据其他身份协议或框架（例如 SAML）讨论授权策略，我们将不会有访问令牌或刷新令牌的概念。...如果访问令牌已过期，脚本将使用刷新令牌来获取新的访问令牌，然后重试原始请求。...代码示例：客户端使刷新令牌失效在客户端，可以通过从客户端存储中删除令牌并确保客户端不会再次使用该令牌来使刷新令牌失效。

2.8K3 0

从0开始构建一个Oauth2Server服务发起认证请求

" Host: api.authorization-server.com description=Hello+World 访问令牌不打算被您的应用程序解析或理解。...例如，Google 的 API 使用 OpenID Connect 提供一个 userinfo 端点，该端点可以返回有关给定访问令牌的用户的信息，或者您可以改为从 ID 令牌获取用户信息。...访问令牌可能因多种原因而过期，例如用户撤销应用程序，或者如果授权服务器在用户更改密码时使所有令牌过期。如果您发出 API 请求并且令牌已经过期，您将收到一个表明此情况的响应。...最安全的选择是授权服务器在每次使用刷新令牌时发出一个新的刷新令牌。这是最新的安全最佳当前实践中的建议，它使授权服务器能够检测刷新令牌是否被盗。...当刷新令牌在每次使用后发生变化时，如果授权服务器检测到刷新令牌被使用了两次，则意味着它可能已被复制并被Attack者使用，授权服务器可以撤销所有访问令牌和相关的刷新令牌立即使用它。

1.4K3 0

警惕“授权即沦陷”！Barracuda预警：高级OAuth钓鱼正悄然接管你的企业账号

更狡猾的是，攻击者还滥用Google Translate、SendGrid、Google Classroom等可信服务隐藏恶意链接。...这类攻击之所以危险，是因为它几乎不留痕迹：邮箱登录日志显示的是“正常OAuth授权”，非技术人员看不出异常；攻击者控制的应用往往命名专业（如“Secure Cloud Sync”），权限描述模糊；一旦获得令牌...，攻击者可长期潜伏，甚至设置邮件转发规则，悄无声息地窃取情报；即使用户更改密码，只要未撤销授权，攻击者仍能通过刷新令牌继续访问。...Barracuda强调，许多受害者直到数据泄露或被勒索时，才意识到账号早已失守。企业如何防御？从“授权治理”做起面对这种新型威胁，传统防钓鱼手段已显不足。...即使令牌被盗，也无法在陌生设备上使用。5. 定期吊销可疑刷新令牌通过Microsoft Graph API或安全中心，监控异常令牌活动（如非工作时间、非常用地点），并批量撤销高风险会话。

3381 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

一旦攻击者控制企业高管或IT管理员的邮箱、云文档或身份管理后台，即可利用B2B协作信任链发起供应链攻击——例如伪造合作方邮件、篡改共享合同、或通过合法API导出敏感数据。...例如，若受害者通常使用Windows 11 + Chrome 124访问Office 365，攻击者将配置代理以相同特征发起API请求，使登录活动在审计日志中呈现为“正常行为”。...刷新令牌生命周期过长：默认情况下，Microsoft Entra ID的刷新令牌有效期可达90天，且在用户未主动登出前持续有效。这为攻击者提供了长期潜伏窗口。...条件访问策略依赖静态规则：基于“合规设备”或“可信IP”的策略易被代理IP和虚拟机绕过，缺乏对会话行为的动态风险评估。上述缺陷使得即便组织部署了“强MFA”，在面对AiTM攻击时仍形同虚设。...例如，欧盟NIS2指令已要求关键实体实施“强客户认证”（SCA），未来或明确禁止长期有效的非绑定刷新令牌。六、结语VoidProxy平台揭示了当前MFA部署模型在面对实时会话劫持时的根本性不足。

2531 0

Spring Cloud微服务网关统一鉴权实战：Gateway过滤器JWT令牌校验详解

根本原因在于：令牌过期时间设置过长（7天）缺乏令牌吊销机制未验证aud声明，令牌可在非目标服务使用 2025年3月，某金融机构因JWT密钥管理不当导致的安全漏洞，造成直接经济损失约200万元。...15-30分钟，结合刷新令牌机制避免敏感信息泄露：不在JWT中存储密码、手机号等敏感数据强制HTTPS传输：确保所有通信通道加密，防止令牌被截获安全的日志记录：避免在日志中记录完整的JWT令牌内容...实现令牌黑名单：支持主动吊销令牌，应对安全事件通过以上完整的实现，我们在Spring Cloud Gateway中建立了一个健壮、高效的JWT统一鉴权机制。...根据OAuth 2.1标准，访问令牌通常设置15-30分钟的过期时间，刷新令牌则为7-30天。当访问令牌过期时，客户端可以使用刷新令牌获取新的访问令牌，无需用户重新登录。...= generateNewAccessToken(refreshToken); // 使旧刷新令牌失效，生成新刷新令牌（可选）

5961 0

`AccessToken`和`RefreshToken`安全令牌

localStorage.removeItem('access_token'); localStorage.removeItem('refresh_token'); // 重定向到登录页面或显示错误信息...一旦检测到access_token已过期，服务端将拒绝这次请求，并可能返回一个特定的错误码，例如401 Unauthorized或403 Forbidden。...五、过期的access_token以及刷新本地缓存处理过期的access_token以及是否刷新本地缓存的策略通常如下：检测过期：在每次API请求之前，客户端可以检查access_token...重试失败的请求：在新的access_token获取并刷新本地缓存之后，任何因令牌过期而失败的请求可以被自动重试。...安全性：在处理令牌刷新时，确保所有的通信都是通过安全的连接进行，以防止令牌被截获。日志记录：对于令牌刷新的尝试和结果，应该进行适当的日志记录，以便于问题的调试和安全审计。

7081 0

OAuth2.0 OpenID Connect 一

考虑因素包括应用程序的类型（如基于 Web 或本机移动应用程序）、您希望如何验证令牌（在应用程序中或在后端）以及您希望如何访问其他身份信息（进行另一个 API 调用或拥有它直接编码成令牌）。...这意味着：有关用户的身份信息被编码到令牌中，并且令牌可以被最终验证以证明它没有被篡改。规范中有一组规则id_token用于验证....通过在应用程序中验证 JWT，您可以避免到 API 服务的另一次往返。它还允许强制执行行为，例如过期，因为您知道声明exp没有被更改。 JWT 和 OAuth 2.0 之间没有直接关系。...然而，许多 OAuth 2.0 实施者看到了 JWT 的好处，并开始将它们用作（或两者）访问和刷新令牌。 OIDC 正式规定了 JWT 在强制 ID 令牌成为 JWT 方面的作用。...这是一个典型的场景：用户登录并取回访问令牌和刷新令牌应用程序检测到访问令牌已过期应用程序使用刷新令牌获取新的访问令牌重复 2 和 3，直到刷新令牌过期刷新令牌过期后，用户必须重新进行身份验证

2.5K3 0

数字营销的“核按钮”被盯上了——Google Ads MCC账户劫持激增，一场针对广告预算的精准围猎

主题如《紧急：您的MCC账户因违反政策即将被暂停》《检测到异常登录，请立即验证》，发件人地址显示为“no-reply@accounts.google.com”（实则为“no-reply@accounts-google...调查显示，超过60%的中小型代理商仍将MCC主账号绑定个人Gmail，且未启用任何MFA；更有甚者，将管理员权限随意授予实习生或外包团队，从未进行权限回收。“MCC的设计初衷是便利，而非安全。”...第三方开发者只能通过OAuth获取特定API范围的令牌，且令牌有效期不超过24小时。即使凭据泄露，攻击窗口也极短。反观国内，尽管百度、巨量引擎等平台也有类似MCC的“代理商中心”，但安全机制普遍滞后。...技术加固：从默认安全到主动监控强制MFA：使用物理安全密钥（如YubiKey）替代短信验证；专用账号：MCC主账号应独立于个人邮箱，仅用于管理；API监控：部署脚本定期拉取Google Ads API日志...例如：# 检测异常高支出广告活动from google.ads.google_ads.client import GoogleAdsClientclient = GoogleAdsClient.load_from_storage

2141 0

开源KMS之vault part1

这种通过 API 驱动的模型的一个副作用是，应用程序和用户可能会发送一系列高频的 API 请求使系统资源不堪重负，从而导致某些 Vault 节点甚至整个 Vault 集群出现拒绝服务问题。...当 Vault API 端点暴露于部署在全球基础设施中的数千或数百万个服务时，这种风险会显着增加，尤其是为内部开发人员的服务而部署的 Vault 服务。...具体来说，Vault 允许维护者创建和配置 API 速率限制。 Vault 允许操作员创建速率限制配额，使用令牌桶算法强制执行 API 速率限制。...当租约被吊销时，它会立即使该机密无效并阻止任何新的的续订。例如，使用 AWS 机密引擎，一旦租约被吊销，访问密钥就会从 AWS 中删除，这使得访问密钥从那时起变得无效。...当令牌被吊销时，Vault 将吊销使用该令牌创建的所有租约。需要注意的是，Key/Value 机密引擎是不关联租约的，虽然它有时也会返回一个租约期限。

9811 0

OAuth 2.0初学者指南

iii）授权服务器：授权服务器获得资源所有者的同意，并向客户端发出访问令牌以访问资源服务器托管的受保护资源。 iv）客户端：应用程序使API请求代表资源所有者对受保护资源执行操作。...授权代码流不会将访问令牌公开给资源所有者的浏览器。相反，使用通过浏览器传递的中间“授权代码”来完成授权。在对受保护的API进行调用之前，必须将此代码交换为访问令牌。...隐式授权流程不适用刷新令牌。如果授权服务器定期过期访问令牌，则只要需要访问权限，您的应用程序就需要运行授权流程。在此流程中，在用户授予所请求的授权后，会立即将访问令牌返回给客户端。...客户端交换其客户端凭据以获取访问令牌。 7.令牌已过期，获取新的访问令牌：如果访问令牌由于令牌已过期或已被撤销而不再有效，则使用OAuth 2.0访问令牌进行API调用可能会遇到错误。...客户端可以使用刷新令牌（在授权代码交换访问令牌时获得）获取新的访问令牌。 8.结论：这是尝试提供OAuth 2.0过程的概述，并提供获取访问令牌的方法。我希望它有所帮助。享受整合应用的乐趣！

3.6K3 0

基于GitHub通知机制的钓鱼攻击与供应链安全防御研究

一旦控制Bot账号，攻击者即可调用GitHub REST API或GraphQL接口，以该身份创建Issue或评论。...攻击者只需在Issue正文中嵌入一个看似无害的“刷新权限”或“安全验证”链接，即可诱导用户点击。...4 现有防御机制的局限性尽管GitHub已提供多项安全功能，但在面对此类高级钓鱼攻击时仍存在明显短板：邮件网关失效：因邮件来源合法，基于发件人信誉或DKIM验证的过滤器无法拦截；OAuth授权界面缺乏上下文...GitHub访问，支持即时吊销；限制PAT生命周期：组织应通过GitHub Enterprise设置PAT最大有效期（如30天），并禁止长期令牌。...；分离Bot与人工账号：自动化任务应使用专用服务账号，禁止其访问私有仓库或敏感API。

2321 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

更严重的是，即使组织启用了短信或电话MFA，攻击者仍可在用户完成授权后直接获取长期有效的刷新令牌（Refresh Token），实现持久化访问。...（access_token）和刷新令牌（refresh_token）。...一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...，成功获取access_token与refresh_token；利用令牌调用Microsoft Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...因此，建议启用“连续访问评估”（Continuous Access Evaluation, CAE），使令牌在检测到风险时实时吊销。

2581 0

点击加载更多

高级OAuth钓鱼攻击的演化机制与防御体系构建

钓鱼邮件“精准制导”升级：Outlook与Gmail成重灾区，企业身份防线告急

网络钓鱼对金融行业安全的威胁机制与防御体系构建

云邮箱钓鱼攻击趋势与企业防御体系重构

实现“永久登录”：针对蜻蜓Q系统的用户体验优化方案（前端uni-app+后端Laravel详解）-优雅草卓伊凡

API NEWS | 谷歌云中的GhostToken漏洞

基于Google云服务滥用的新型钓鱼攻击机制与防御策略研究

Gmail凭证泄露事件中的撞库与OAuth钓鱼攻击分析

分享一篇详尽的关于如何在 JavaScript 中实现刷新令牌的指南

从0开始构建一个Oauth2Server服务发起认证请求

警惕“授权即沦陷”！Barracuda预警：高级OAuth钓鱼正悄然接管你的企业账号

VoidProxy平台对多因素认证的绕过机制与防御对策研究

Spring Cloud微服务网关统一鉴权实战：Gateway过滤器JWT令牌校验详解

`AccessToken`和`RefreshToken`安全令牌

OAuth2.0 OpenID Connect 一

数字营销的“核按钮”被盯上了——Google Ads MCC账户劫持激增，一场针对广告预算的精准围猎

开源KMS之vault part1

OAuth 2.0初学者指南

基于GitHub通知机制的钓鱼攻击与供应链安全防御研究

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐