Google Apps脚本-使用登录时收到的令牌连接到外部API - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于Google云服务滥用的新型钓鱼攻击机制与防御策略研究

本文的主要贡献在于：首先，从技术底层解构了基于Google云服务滥用的钓鱼攻击链路，明确了攻击者如何利用API、Webhooks及通知服务绕过传统防御；其次，分析了当前企业在使用云协作平台时在IAM（身份与访问管理...当用户收到一封看似来自合法应用的邮件，点击“查看文档”或“确认身份”时，会被重定向到Google官方的OAuth同意屏幕（accounts.google.com）。...// 模拟攻击者视角的Google Apps Script代码// 该脚本需部署在攻击者的GCP项目中，并拥有Tasks API权限function createPhishingTask(targetEmail...当收到任务提醒或文档共享通知时，应手动打开浏览器，输入官方网址（如tasks.google.com或drive.google.com）登录查看，而不是直接点击邮件中的快捷链接。...该脚本展示了如何通过分析授权频率和权限范围来识别潜在的恶意应用。在实际部署中，此类逻辑应集成到企业的SOC（安全运营中心）平台中，实现实时告警与自动化响应（如自动吊销令牌、隔离用户账户）。

1371 0

APP消息推送方案调研

使用GCM推送服务的whatsapp即使后台程序和服务都关闭掉，也依然可以在第一时间接收到新消息的推送（实测在国内whatsapp也的确可以在后台关闭的情况下正常通过GCM接受实时消息）。...Apps ；他们带给用户的好处是实实在在的： 1）安全：只有登录过的开发者可以通过苹果的服务器推送； 2）快速、稳定、可靠：苹果掌控推送服务器和 OS ； 3）更省电； 4）让整个系统的体验更统一和简单...开发者通过第三方推送服务提供商将信息直接下发给需要的设备，第三方推送服务提供商与设备建立一条长连接通道，并且将消息路由到APP中（图中的设备1与设备2），对于像设备3这种无网络连接或是没有成功建立长连接通道的设备...https://firebase.google.com/docs/cloud-messaging对于 Android 设备，FCM 使用单一的、优化的连接到 Google Play 服务，而不是为每个应用程序建立单独的连接...获取Firebase实例ID：在应用中，使用Firebase实例ID服务来获取一个唯一的标识符。这个服务会处理令牌的生成和刷新。

7.6K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

ASP.NET Core的身份认证框架IdentityServer4（1）-特性一览

, native, mobile, services)）的登录逻辑和工作流。...单点登录/登出　　在多种类型的应用程序上单点登录/登出 API访问控制　　为各种类型的客户机发放API访问令牌，例如服务器到服务器、Web应用程序、SPA和native/mobile apps。...联合网关　　支持第三方登录，比如Azure Active Directory, Google, Facebook 等等，这保护您的应用程序连接到这些外部登录提供商的细节。...专注于定制　　identityserver的许多方面可以被定制以适合你的需求的最重要的部分。...因为identityserver是一个框架，而不是一个盒装产品或SaaS，您可以为你的使用场景来编写代码以适应系统的方式。

1.2K3 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

该团伙通过仿冒“贝尔格莱德安全会议”（BSC）与“布鲁塞尔印太对话”（BIPD）等高信誉活动，搭建高度仿真的注册网站，诱导目标使用Microsoft或Google账户进行OAuth授权登录。...，OAuth 2.0协议已成为连接用户身份与云服务的核心枢纽。...用户被邀请“完善注册信息”或“提交演讲议题”，并提示“使用Google/Microsoft账号一键登录以简化流程”。...2.2 OAuth授权流程劫持当用户点击“使用Google账号登录”按钮时，前端JavaScript发起标准OAuth 2.0授权请求：const authUrl = 'https://accounts.google.com...以下Python脚本利用Google Admin SDK Directory API列出某用户的所有OAuth客户端授权：from googleapiclient.discovery import builddef

2841 0

Gmail凭证泄露事件中的撞库与OAuth钓鱼攻击分析

以下为攻击者后端获取令牌的简化流程（使用Google OAuth 2.0）：import requestsCLIENT_ID = "attacker-app-id.apps.googleusercontent.com"CLIENT_SECRET...Google虽对异常登录发送警报，但对协议层面的高频认证尝试检测能力有限，尤其当攻击流量分散时。...企业可利用Workspace Admin Console导出所有用户的OAuth授权记录，进行集中审计：# 使用 Google Admin SDK Directory API 获取用户授权应用from...4.4 异常登录行为建模与风险评分组织可结合Google提供的登录活动日志（Login Activity API）构建风险评分模型。...例如，当出现以下情况时触发再认证：登录地理位置与历史模式偏差过大；使用从未见过的设备类型或操作系统；短时间内多地登录。

3951 0

如何正确集成社交登录

采用这种方法的一个好处是将用户凭据管理等复杂的安全操作从应用程序中外部化。通常，开发人员在集成社交登录时首次接触到 OAuth 。...然而，简单的用户登录只是应用程序端到端安全生命周期的一小部分。在使用社交登录时，存在一些架构和安全风险。因此，在本文中，我将指出最常见的问题。然后，我将展示如何以最佳方式实现社交登录解决方案。...如今，前端通常调用后端 API ，因此需要一个 API 消息凭据。当开发人员初次接触 OAuth 时，他们通常期望使用从社交 Provider 收到的令牌之一。...认证后，可以使用账户链接来确保 API 接收到的访问令牌中的一致身份。如何颁发令牌提供了对令牌格式、声明和生命周期的控制。...在设计这样的解决方案时，最好的方法是从 API 需要正确保护数据访问的角度进行思考。避免将社交 Provider 的 ID 令牌用作 API 凭据。更重要的是，避免使用外部访问令牌来保护自己的数据。

1.3K1 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

尤其在Microsoft 365、Google Workspace等企业生产力平台中，OAuth被深度集成于单点登录（SSO）、API调用、跨应用数据共享等关键场景。...；用户在授权服务器页面登录并同意权限请求；授权服务器生成授权码（Authorization Code），通过重定向返回至Client指定的redirect_uri；Client使用授权码、client_secret...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...返回的JSON响应包含access_token与refresh_token。前者有效期通常为1小时，后者可达90天（取决于租户策略）。攻击者利用刷新令牌可无限续期访问令牌，实现长期潜伏。...以下Python脚本利用Microsoft Graph API实现自动化审计：import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

2891 0

“ClickFix”钓鱼套件的技术机制与企业邮箱防护体系研究

brand=gws）自动切换为Microsoft或Google登录界面，包括Logo、配色、字体及错误提示文案。...随后，攻击者立即使用凭证登录受害者账户，并执行以下操作：会话劫持：导出有效会话Cookie，在不触发MFA的情况下维持访问。...应用注册持久化：在Azure AD中注册新的企业应用（如“Secure Mail Validator”），授予Mail.Read、User.Read等权限，获取长期API访问令牌。...移动端专项培训：强调在手机上收到“账户受限”通知时，应手动打开官方App而非点击链接。...5 实验验证我们在测试租户中部署上述防护措施：HTML附件策略成功阻断98%的ClickFix样本投递；条件访问策略在模拟攻击中拦截了来自越南IP的登录尝试；应用注册监控脚本在24小时内捕获了攻击者注册的恶意应用

2511 0

凭证窃取主导下的现代网络攻击链演化与防御体系构建

尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中，一旦主账户凭证失窃，攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄，而平均检测延迟仍超过...OAuth 2.0授权虽简化了单点登录（SSO），但也导致权限过度授予问题。例如，一个仅需读取日历的协作工具，常被授予“完全访问邮箱”权限，一旦该应用令牌泄露，攻击者可直接读取高管邮件。...此过程中，攻击者无需部署恶意软件，全程利用合法API调用，规避传统EDR检测。思科报告显示，73%的勒索事件中，攻击者在获得凭证后4小时内完成数据加密或外传。...伪品牌验证流程嵌套：伪造Microsoft登录页后，跳转至“安全验证”页面，要求用户输入短信验证码，实则完成MFA劫持。此类攻击利用用户对协作工具的信任及多任务处理时的认知负荷，显著提升欺骗成功率。...攻击者购得凭证后，通常在24小时内完成以下操作：使用az login --service-principal或gcloud auth activate-service-account登录云环境；通过Get-MgUser

2571 0

Firebase 与 Apps Script 在钓鱼攻击中的滥用机制与防御对策研究

Google Apps Script 则是基于 JavaScript 的轻量级自动化脚本平台，可直接调用 Google Workspace API，并可通过 Web App 形式对外提供 HTTP 接口...用户点击后，看似正规的 Google 登录界面实则由攻击者控制，输入的凭证将被发送至隐藏的 Apps Script Web App 或 Firebase Realtime Database。...在 Google 生态方面，Proofpoint（2021）披露了利用 Apps Script 构建动态钓鱼页面的案例，攻击者通过 URL 参数动态加载不同品牌的登录模板，实现“一码多用”。...定期审计 Firebase 项目：使用 Firebase Management API 列出组织关联的所有项目，识别未授权或闲置项目。启用两步验证（2FA）：即使凭证泄露，攻击者也无法直接登录账户。...，在用户访问 Google 子域时注入检测脚本，检查页面是否包含以下特征：表单 action 指向非 Google 域名；页面包含 Google Logo 但 URL 不匹配官方域名；存在向 Apps

2071 0

多因子类身份认证

，用户和系统之间共享一个密钥和计数器，每次使用时计数器增加，常见的实现包括YubiKey硬件令牌认证实现下面是几种常见的双因子认证实现技术：软件令牌实现方式：用户在登录时会收到一条包含验证码的短信...(SMS)和文本消息2FA因素，SMS消息将被发送到用户的移动设备，其中包含用户随后输入到应用程序或服务的唯一代码，银行和金融服务部门曾使用这类2FA因素，用于验证客户在线银行账户的购买和变更情况，但是考虑到文本消息容易被拦截...，他们通常会放弃此选项，同时等保测评中也不建议使用此类方法简易示例：用户登录时第二部要求用户输入短信验证码推送认证实现方式：用户在进行登录或者敏感操作时进行消息的推送并要求用户进行授权操作简易案例...项目地址：https://play.google.com/store/apps/details?...id=com.google.android.apps.authenticator2 项目介绍：Google Authenticator，也被称之为"Google身份验证器"，是由谷歌出品的软件，支持Android

2.9K1 0

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

该链接表面指向一个常规文档，实则加载伪装成Microsoft 365登录界面的钓鱼页面，并在用户输入凭证后实时中继多因素认证（MFA）请求，实现凭证与会话令牌的双重窃取。...设置邮件转发规则：通过Exchange Web Services (EWS) API创建隐藏的邮件转发规则，将含“Board Meeting”、“M&A”、“Q4 Forecast”等关键词的邮件自动转发至外部邮箱...此后，即使原始凭证被重置，攻击者仍可通过OAuth令牌维持API级访问，实现长期潜伏。...以下Python脚本利用Microsoft Graph API实现授权审计：import requestsdef audit_oauth_apps(user_token):headers = {"Authorization...防御方需认识到，单纯依赖技术控制已不足以应对高度社会工程化的威胁。必须构建“技术+流程+人”的三位一体防御体系。

2341 0

基于云原生信任机制的钓鱼攻击机理与防御体系研究

为了增加可信度，攻击者可能会使用与知名品牌相似的名称、Logo，甚至尝试通过Google的验证流程（尽管对于外部应用较难，但针对内部开发或未经严格审核的应用，Google允许发布“测试版”或“未验证”应用...一旦目标用户在诱导页输入凭证（或直接跳过凭证输入，若已登录）并授权应用，攻击者脚本立即获取Access Token。...一旦攻击者通过前期的钓鱼手段（如伪造的登录页）获取了token.json文件，即可无限次地调用API创建任务。每次调用都会触发Google官方发送邮件通知，且邮件内容完全由攻击者控制。...持久性：即使目标用户修改了Google账户密码，只要未手动在“第三方应用访问”设置中撤销该恶意应用的授权，攻击脚本仍能利用刷新令牌继续发送任务通知。...培训应强调“带外验证”原则：收到任何要求验证身份、修改密码或授权应用的紧急通知时，切勿直接点击邮件链接。应手动打开浏览器，输入官方网址登录控制台查看是否有相关通知，或直接联系IT支持部门核实。

1441 0

ownCloud的双因素身份验证

警告：到MySQL服务器的网络流量未加密。如果您运行此方案，我们非常建议您设置TLS。您还可以在本网站上找到一些使用SSL设置MySQL的howtos。...该令牌已注册，您会看到一个QR码，您可以使用Google Authenticator App进行扫描。其他令牌类型以其他方式注册，这超出了本教程的范围。...您需要将目录user_privacyidea 复制到您自己的Cloud目录apps / 。...如果您使用这样的客户端，您应该勾选允许使用静态密码访问remote.php的API 。...要登录，您需要输入用户名，并在密码字段中输入您的Google身份验证器生成的OTP密码和OTP值。

2.6K0 0

单点登录与授权登录业务指南

SSO在企业环境中尤为重要，因为它简化了对多个内部和外部服务的访问过程。使用Google账号登录各种服务。...当你选择这种登录方式时，网站会引导你到Facebook或Google的登录页面。在这里，你需要授权该网站访问你的某些社交媒体信息（如基本资料）。...配合使用单点登录与授权登录是分开的两套业务，但是可以配合使用，比如，Google Mail 首次登录时，需要使用Google账号授权登录Google Mail，但是登录之后，Google旗下的YouTube...系统1的验证过程：系统1接收到令牌，并向SSO认证中心查询以验证令牌的有效性。建立局部会话：验证令牌后，系统1使用该令牌与用户建立一个局部会话，并向用户提供访问受保护资源的权限。...系统2建立局部会话：系统2使用从SSO认证中心收到的令牌与用户建立局部会话，并提供访问权限。

3.7K2 1

如何成功启动 Docker 自带的 Kubernetes？(2020年更新)

毕竟我们使用 Google 的东西没那么容易，希望这篇技术笔记能帮大家节省一点点时间，知道坑在哪里，以便更好的玩转 Kubernetes。...Kubernetes Dashboard 登录通过以下脚本，配置访问控制台所需的令牌。...，并在登录对话框中选择“令牌”方式登录后，粘贴到输入框中，登录即可。...token: eyJh....UIUT-GFkv....WDtO-XesQ....5Kwh-ONGgbgAQFIVf0MdA 好的，那就介绍到这里。...附件对于文章中提到的安装文件或脚本，下载仍有困难的，也可以使用我百度网盘中的备份。

8K2 0

Google Apps Script 的使用

Google Apps Script 是为谷歌工作表 Sheets、文档, Docs、幻灯片Slides或表单 Forms创建附加组件，自动化您的工作流，与外部api集成，等等。...他的使用也很简单，除了简单易用的api外，还有强大的管理功能打开Apps Script的脚本管理页面，我们可以看到这样一个页面上面这个页面就是脚本管理页面点击右上角的新建项目，就会弹出这样一个新建项目的页面...（第 7 行，“代码”文件）这是因为我们还没有授权，这个项目可以使用那些类，那些API 要授权，就点击资源，高级谷歌服务点击后弹窗我们找到Google Docs API 这一行，然后点击最后一列的...再运行脚本，发现没报错了。但弹出了这样一个窗这就需要我们授权了，点击查看权限，登录google 进行授权。授权后我们再运行，就什么提示都没有了。...我们点击查看，执行记录可以看到 Docs的title 已经打印出来了脚本的编写和执行就那么简单，但复杂脚本编辑会用到很多API 和一些工作流 API 链接 https://developers.google.com

5.4K1 0

披着“Google外衣”的钓鱼邮件正在攻陷企业邮箱——云服务成黑客新跳板

公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时指出，“当攻击者躲在Google、Microsoft这类顶级域名背后时，传统的基于发件人信誉的防御体系几乎失效。”...usp=sharing但攻击者可通过以下方式植入恶意跳转：在文档内嵌入重定向脚本（仅对特定用户生效）；利用Google Apps Script部署中间页；更常见的是，在文档描述或首行插入伪装链接，诱导用户点击非官方按钮...多名律师点击后，被导向伪造的Okta登录页，导致客户数据外泄。几乎同时，一家总部位于深圳的跨境电商企业也中招。员工收到“HR共享：2026社保调整说明”的Google文档链接。...限制外部Google共享范围企业可通过Google Workspace管理控制台设置策略：禁止外部用户向本域成员共享文件；或要求所有外部共享必须经管理员审批；启用“敏感内容警告”，当文档包含登录表单等关键词时自动标记...文档并嵌入诱导文本在文档首行写入：“请先完成身份验证以查看此文件：https://fake-m365.web.app”步骤3：通过Google API共享文档使用Google Drive API将文档共享给目标邮箱

1731 0

一起做 Kubernetes 云原生渐进式交付，刷 Argo CD 技术文档之 Getting Started 篇

访问 Argo CD API Server 默认情况下，Argo CD API Server 未使用外部 IP 暴露。...使用 CLI 登录初始密码将自动生成为 Argo CD API server 的容器名称。...首次安装Argo CD 时，请记下初始 Pod 名称，或按照以下说明重设密码 5. 注册集群以将应用程序部署到上面（可选）此步骤将集群的凭据注册到 Argo CD，仅在部署到外部集群时才需要。...在内部进行部署（到与 Argo CD 运行所在的同一集群）时，应将 https://kubernetes.default.svc 用作应用程序的 K8s API server 地址。...Argo CD 使用此服务帐户令牌执行其管理任务（即部署/监视）。

1.2K2 0

伪装成安全会议的“数字陷阱”：俄罗斯黑客如何借OAuth之名窃取全球政要邮箱？

，返回的JSON将包含可用于调用Microsoft Graph API的令牌：{"token_type": "Bearer","scope": "Mail.Read Mail.Send User.Read...（长期有效）"}凭借此令牌，攻击者可读取邮件、发送新邮件、访问OneDrive文件，甚至注册新设备——正如Volexity所观察到的，UTA0355在得手后立即在Entra ID（原Azure AD）中注册了一台名为...与此同时，攻击者控制的服务器在后台轮询微软API，一旦用户完成授权，即可获取令牌。...整个过程无需用户察觉异常，且绕过了多因素认证（MFA）的部分保护——因为MFA通常只在初始登录时触发，而设备代码流被视为“低风险”场景。...这些活动天然成为黑客的“优质素材库”。试想：若某中国学者收到一封“邀请参加日内瓦裁军谈判会议”的邮件，附带一个要求用“学校统一身份认证”登录的注册链接，有多少人会起疑？

1751 0

点击加载更多

基于Google云服务滥用的新型钓鱼攻击机制与防御策略研究

APP消息推送方案调研

ASP.NET Core的身份认证框架IdentityServer4（1）-特性一览

基于OAuth滥用的定向钓鱼攻击与防御机制研究

Gmail凭证泄露事件中的撞库与OAuth钓鱼攻击分析

如何正确集成社交登录

高级OAuth钓鱼攻击的演化机制与防御体系构建

“ClickFix”钓鱼套件的技术机制与企业邮箱防护体系研究

凭证窃取主导下的现代网络攻击链演化与防御体系构建

Firebase 与 Apps Script 在钓鱼攻击中的滥用机制与防御对策研究

多因子类身份认证

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

基于云原生信任机制的钓鱼攻击机理与防御体系研究

ownCloud的双因素身份验证

单点登录与授权登录业务指南

如何成功启动 Docker 自带的 Kubernetes？(2020年更新)

Google Apps Script 的使用

披着“Google外衣”的钓鱼邮件正在攻陷企业邮箱——云服务成黑客新跳板

一起做 Kubernetes 云原生渐进式交付，刷 Argo CD 技术文档之 Getting Started 篇

伪装成安全会议的“数字陷阱”：俄罗斯黑客如何借OAuth之名窃取全球政要邮箱？

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐