文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

在线恶意软件和URL分析集成框架 – MalSub

PhishTank;在线钓鱼站点识别,并提供实时网络钓鱼数据 QuickSand;在线恶意文档分析平台 Safe Browsing;一项Google的客户端服务,用于自动检索识别当前浏览的站点是否合法...密钥才能使用,这些密钥需要根据给定的结构在apikey.yaml文件中指定。...需要注意的是,malsub中提供的服务所使用的的API,大多为免费API密钥开发,因此部分操作可能受限。 依赖和使用 malsub需要在require.txt文件中指定的几个模块。...以下是该配置文件中一些关键文件的简单说明: malsub/malsub.py:应用入口点; malsub/data:杂项数据文件夹; apikey.yaml:用于API密钥和用户名配对的YAML数据文件...(调试,详细,信息或错误)的输出显示功能模块; frmt.py:具有漂亮显示功能的模块,如将字典格式转为JSON或表格格式; rw.py:具有读写功能的模块; malsub/malsub/core/:应用程序的核心模块

1.6K100

谷歌账户钓鱼进入“自动化收割”时代,你的Gmail还安全吗?

更令人忧心的是,这些钓鱼页面不仅能绕过Chrome内置的Safe Browsing警告,还能骗过部分企业部署的基础邮件网关和终端防护软件。...如果你没开2FA,它就只问密码;如果你开了,它会立刻弹出‘请输入验证码’的伪造界面——而此时你手机真的收到了Google发来的验证码请求,因为攻击者已经在用你的凭据尝试登录了。”...:使用Selenium模拟真实浏览器行为,绕过基于User-Agent或JS缺失的Bot检测;直接操作Google官方页面,而非API,避免触发异常登录风控;在登录成功后的第一时间修改恢复邮箱,切断用户找回路径...面对如此迅猛的攻击,为何Chrome Safe Browsing、Gmail垃圾过滤器甚至部分EDR都未能有效拦截?芦笛一针见血地指出三大结构性缺陷:1....Safe Browsing依赖黑名单,无法应对“一次性域名”攻击者使用Cloudflare Workers或Vercel部署钓鱼页,每个受害者分配唯一子域名(如user123.phish-cdn[.]workers.dev

9610
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    聊一聊接口测试如何处理鉴权

    还要考虑测试用例的设计,比如正常情况下的鉴权通过,以及异常情况,比如无效的token、过期的token、缺少鉴权信息等。这些用例能覆盖鉴权的不同场景,确保接口的安全性。...测试不同角色(Role)的权限控制。5. API Key原理:客户端在请求头或参数中携带唯一的 API Key。测试方法:httpGET /api/data?...api_key=123456 HTTP/1.1验证点:Key 是否有效、是否绑定 IP 或域名、频率限制。6. HMAC 签名原理:客户端用密钥对请求参数生成签名,服务端验证签名。...在后续请求中携带 Cookie: SessionID=xxx。测试用例:登录后能否携带有效 Cookie 访问。Cookie 过期或无效是否返回 401。二、接口测试中的鉴权实践1....无效 Token:返回 403 Forbidden。权限不足:普通用户访问管理员接口,返回 403。签名错误:修改参数或签名,返回 400 Bad Request。非法用户尝试越权访问。

    92220

    原生操作系统安全机制在钓鱼防护中的局限性研究

    本文基于该测试结果,系统分析 Windows SmartScreen 与 Apple Safari 所集成的 Google Safe Browsing 在技术架构、更新机制及检测逻辑上的固有局限,并结合实证数据揭示其在面对短生命周期钓鱼页面时的失效原因...关键词:网络钓鱼;原生安全;Windows Defender;macOS 安全;SmartScreen;Safe Browsing;浏览器扩展;威胁情报1 引言现代个人计算设备在出厂时普遍预装了操作系统级的安全防护机制...,如 Microsoft Windows 的 Defender(含 SmartScreen)与 Apple macOS 的 Safari 集成防护(基于 Google Safe Browsing)。...这些机制被广泛视为用户抵御网络威胁的第一道防线,尤其在普通消费者缺乏专业安全知识的背景下,其“开箱即用”的特性强化了用户对其有效性的默认信任。然而,2025年11月英国消费者组织 Which?...2.2 macOS 与 Safari 的 Safe Browsing 集成Apple 在 macOS 中并未开发独立的钓鱼检测引擎,而是直接集成 Google Safe Browsing (GSB) API

    9800

    API OWASP 标准

    HTTP 状态码 404 用于错误的 URL 400 -responses 有特定错误的附加信息(例如缺少必需的属性) 当 API 使用者使用错误的凭证时使用 401 -response 403 使用有效但请求...API 使用者无法访问的端点或尝试使用他们不允许执行的操作 500 - 当存在 API 使用者无法通过更改请求来解决的内部处理问题时响应 500 -responses 具有特定于应用程序的错误代码...如果使用 ISO 标准中的地理坐标? 有效负载本地化支持或可通过 API 访问的本地化值? 支持错误消息本地化吗?...额外的安全性 所有端点都至少受到客户端特定 API 密钥的保护,即使它们是公开可用的(反农业)? 支持 OpenID 连接和 JWT(基于会话的身份验证)? 防范 CFRS?...规范包含标准格式的请求和响应示例,API 文档根据规范、模式和示例自动生成 POST, PUT: 201 为创建新资源而创建 来自客户端的 400 个错误请求,例如缺少必需的查询参数 白名单:POST、

    3.2K20

    通过安全浏览保护 WebView

    自 2007 年以来,Google 安全浏览功能一直在保护整个网络中的用户免遭网络钓鱼和恶意软件攻击。它保护了超过 30 亿台设备免于不断增长的威胁,现在还包括桌面和移动平台上不需要的软件。...今天,我们宣布 Google Play Protect 默认将安全浏览功能引入 WebView,从 2018 年 4 月开始发布 WebView 66。...WebView 中的安全浏览功能自 Android 8.0(API 级别 26)开始提供,使用了与 Android 上的 Chrome 相同的底层技术。...当安全浏览被触发时,应用程序将显示警告并收到网络错误。为 API 27 及以上构建的应用程序可以使用新的安全浏览 API进行自定义此行为。 ? 安全浏览检测到危险站点时显示的警告示例。...您可以在 Android API 文档中了解有关自定义和控制安全浏览的更多信息,并且您可以通过访问安全浏览测试网址(chrome://safe-browsing/match?

    73860

    基于平台内通信渠道的钓鱼攻击机制与防御策略研究——以Booking.com事件为例

    例如,某PMS的REST API若未对/api/v1/messages/send接口实施严格的身份绑定与速率限制,攻击者可构造如下请求:POST /api/v1/messages/send HTTP/1.1Host...用户应警惕任何要求“点击链接付款”的请求。核验支付条款:对比消息内容与原始预订确认邮件中的支付政策。若预订为“到店支付”或“平台担保”,则提前付款请求必为欺诈。...可集成Google Safe Browsing API:import requestsdef is_malicious_url(url):api_key = "YOUR_API_KEY"payload...4.3 商户层:PMS安全加固最小权限原则:PMS API密钥应仅授予必要权限(如只读预订信息,禁止发送消息)。日志审计与告警:记录所有消息发送事件,对非工作时间、高频发送或含外部链接的操作实时告警。...结果显示:对照组中,87%的钓鱼消息成功送达用户界面;实验组中,92%的恶意链接被Safe Browsing拦截,剩余8%因异常行为被阻断;无一例成功诱导用户完成支付。

    18610

    5个REST API安全准则

    必须确保传入的HTTP方法对于会话令牌/API密钥和相关资源集合,操作和记录都是有效的。 例如,如果您有一个RESTful API的库,不允许匿名用户删除书目录条目,但他们可以获得书目录条目。...当设计REST API时,不要只使用200成功或404错误。 以下是每个REST API状态返回代码要考虑的一些指南。 正确的错误处理可以帮助验证传入的请求,并更好地识别潜在的安全风险。...200 OK -回应一个成功的REST API的行动。HTTP方法可以是GET,POST,PUT,PATCH或DELETE。 400错误请求 -请求格式错误,如消息正文格式错误。...401未授权 -错误或没有提供任何authencation ID /密码。 403禁止 -当身份验证成功,但身份验证的用户没有权限使用请求的资源。 404未找到 -当请求一个不存在的资源。...429太多的请求 -可能存在的DOS攻击检测或由于速率限制的请求被拒绝 (1)401和403 401“未授权”的真正含义未经身份验证的,“需要有效凭据才能作出回应。”

    5K10

    错误代码

    API错误CODE概述401 - 无效身份验证原因:无效的身份验证解决方案:确保使用了正确的API密钥和请求组织。401 - 提供的API密钥不正确原因:请求的API密钥不正确。...您可以在您的账户设置中找到您的API密钥和组织ID,或者在常规设置下选择所需的项目后,在相关项目设置中找到特定项目相关密钥。如果您不确定您的API密钥是否有效,您可以生成一个新的。...确保在您的请求中用新的API密钥替换旧的API密钥,并遵循我们的最佳实践指南。401 - 提供的API密钥不正确这个错误消息表明您在请求中使用的API密钥不正确。...解决方案: 错误消息应该会指导您找出具体的错误。查看您正在调用的具体API方法的文档,并确保您发送了有效和完整的参数。您可能还需要检查请求数据的编码、格式或大小。...如果遇到 AuthenticationError 错误,请尝试以下步骤:检查您的API密钥或令牌,并确保其正确且有效。

    1.9K10

    Chrome浏览器现在会将你浏览的每个网址发给谷歌!

    Chrome安全浏览功能 近日,谷歌公司宣布在 Chrome 浏览器中,将弃用标准的安全浏览(Safe Browsing)功能,在未来几周内,将所有浏览器用户迁移到增强安全浏览(Enhanced Safe...资料显示,2007年,谷歌在 Chrome 浏览器中引入了安全浏览(Safe Browsing)功能,保护用户免受恶意网站侵扰,并创建了本地恶意 URL 黑名单,用户一旦访问列表中网站,就会全屏显示警告...谷歌表示由于这个 URL 黑名单在本地托管,无法动态更新,于是在 2020 年推出了增强安全浏览(Enhanced Safe Browsing)功能,通过实时检查谷歌的云数据库,确认用户访问的站点是否为恶意...并且,传输的数据还会临时连接到您的 Google 账户,以检测是否有攻击针对您的浏览器或账户。 谷歌今天宣布,它将在未来几周内向所有 Chrome 用户推出增强的安全浏览功能,而不会返回旧版本。...值得一提的是,今年早些时候,也有 Reddit 用户发帖爆料称,Edge 浏览器会将用户访问的每一个地址都发送给必应 API。

    74730

    隐匿即服务对网络钓鱼检测机制的挑战与应对

    CaaS的核心功能在于实现“选择性呈现”:当访问者为自动化安全扫描器(如Google Safe Browsing爬虫、企业沙箱、威胁情报探针)时,服务器返回一个合法、无害的页面;而当访问者被判定为真实人类用户...Laperdrix等人[2]系统评估了基于浏览器API的设备指纹唯一性,证明仅需少量特征即可高概率识别设备。...3.3 服务化模式与成本结构CaaS通常采用订阅制,月费从20美元至200美元不等,按“隐匿请求数”或“存活天数”计费。部分平台甚至提供API接口,允许攻击者通过程序自动注册、部署、轮换钓鱼站点。...检测工具:Google Safe Browsing APIVirusTotal(含60+引擎)自研无头浏览器沙箱(Puppeteer + Chrome)企业级邮件网关(模拟)4.2 测试场景与结果访问者类型...页面返回内容 Safe Browsing VirusTotal 沙箱检测真实用户(Chrome) 完整钓鱼表单 未标记 未标记 未触发Google爬虫 “Site under maintenance”

    17410

    「微服务架构」部署NGINX Plus作为API网关,第1部分

    定义Warehouse API 配置的这一部分首先定义Warehouse API的有效URI,然后定义用于处理对Warehouse API的请求的公共策略。...使用基于前缀的位置匹配,对以下URI的API请求都是有效的: /api/warehouse/inventory /api/warehouse/inventory/ /api/warehouse/inventory...第27行的指令指定当请求与任何API定义都不匹配时,NGINX Plus会返回错误而不是默认错误。...此(可选)行为要求API客户端仅向API文档中包含的有效URI发出请求,并防止未经授权的客户端发现通过API网关发布的API的URI结构。 第28行指的是后端服务本身产生的错误。...第一个定义了API密钥的位置,在本例中是在$ http_apikey变量中捕获的客户端请求的apikey HTTP头。

    2.3K21

    聊聊接口测试加密参数测试策略

    = "AES/CBC/PKCS5Padding"密钥/公钥 = "base64编码的密钥"加密参数列表 = ["sign", "token", "encrypted_data"]加密时机 = "请求前...generate_sign(params, secret_key):        """生成签名"""        # 按规则排序、拼接、加密        pass测试数据准备预先生成各种测试用的密钥对准备加密测试用例数据集建立参数化测试数据池三...发送加密请求    response = api_request({        "data": encrypted_data,        "sign": sign,        "timestamp...": "加密异常"},    {"case": "错误密钥", "key": "wrong_key", "expected": "解密失败"},    # 数据格式异常    {"case": "空数据加密...    test_cases = [        {"修改": "缺少签名", "action": "remove_sign", "expected": 400},        {"修改": "签名错误

    18610

    Fortify软件安全内容 2023 更新 2

    :备份缺少客户管理的加密密钥AWS CloudFormation 配置错误:CloudTrail 缺少客户管理的加密密钥AWS CloudFormation 配置错误:DataBrew 缺少客户管理的加密密钥...配置错误:EC2 缺少客户管理的加密密钥AWS CloudFormation 配置错误:ECR 缺少客户管理的加密密钥AWS CloudFormation 配置错误:EFS 缺少客户管理的加密密钥AWS...配置错误:FSx 缺少客户管理的加密密钥AWS CloudFormation 配置错误:ImageBuilder 缺少客户管理的加密密钥AWS CloudFormation 配置错误:不当的 Athena...:M2 缺少客户管理的加密密钥AWS CloudFormation 配置错误:MemoryDB 缺少客户管理的加密密钥AWS CloudFormation 配置错误:Neptune 缺少客户管理的加密密钥...配置错误:密钥管理器缺少客户管理的加密密钥AWS CloudFormation 配置错误:无服务器拒绝服务AWS CloudFormation 配置错误:时间流缺少客户管理的加密密钥AWS CloudFormation

    25200

    Java 防重放攻击实战:从原理到落地

    重放攻击(ReplayAttack)是一种常见的网络攻击手段,攻击者通过截取网络中传输的合法请求数据(如API调用参数、令牌等),然后在未授权的情况下重复发送该请求,以达到欺骗服务器、获取非法利益的目的...服务器规定请求的有效时间窗口(如5分钟),若请求的时间戳与服务器当前时间差值超过窗口阈值,则直接拒绝。随机数(Nonce):保证请求的唯一性。...客户端将时间戳、随机数、请求参数等关键信息,结合密钥进行加密生成签名;服务器接收请求后,使用相同的规则重新计算签名,若两次签名不一致则拒绝请求。...(生产环境务必配置在配置中心,不同用户可分配独立密钥)privatestaticfinalStringSECRET_KEY="your_secure_secret_key_123456";//请求有效期...,防止重复请求*/@ComponentpublicclassNonceManager{//本地缓存(单机场景):过期时间=请求有效期+1分钟,避免缓存溢出privatefinalCache<String

    15810

    “量子重定向”钓鱼风暴席卷全球:企业云邮箱成新猎场,MFA也挡不住的自动化攻击

    该工具不仅具备高度自动化能力,还能通过多跳重定向、地理适配页面和验证码集成等手段,有效绕过传统邮件网关与URL扫描机制,使得防御难度陡增。更令人警惕的是,攻击者已不再满足于单纯获取账号密码。...多跳重定向 + 可信平台托管 = 规避URL信誉检测传统邮件安全网关依赖URL信誉数据库(如Google Safe Browsing、Cisco Talos Intelligence)来拦截恶意链接。...// 示例:Cloudflare Pages上的跳转脚本fetch('https://api.ipgeolocation.io/ipgeo?...当请求到达中枢服务器时,系统会检查以下特征:是否携带自动化工具标识(如webdriver、HeadlessChrome)User-Agent是否异常(如无图形界面的curl/wget)是否缺少常见浏览器...企业应优先部署FIDO2安全密钥(如YubiKey)或Windows Hello for Business,实现真正的无密码、无钓鱼认证。

    2710

    谷歌重拳出击“钓鱼即服务”黑产:25名中国籍嫌犯被诉,短信钓鱼攻防战进入新阶段

    、支付页面、快递通知页等;域名自动化注册与部署:集成API对接多家廉价域名注册商(如Namecheap、Porkbun),支持批量生成形似合法的子域名(如 google-verify[.]xyz、usps-track...Google此次采取的策略是“法律先行,技术跟进”:依据《反有组织犯罪法》(RICO)、《兰哈姆法案》(商标法)及《计算机欺诈与滥用法》(CFAA)提起民事诉讼,请求法院签发临时限制令(TRO),强制域名注册商冻结涉案域名...USPS、银行、电商平台绝不会通过短信索要密码或CVV码;启用双重验证(2FA),优先选择基于时间的一次性密码(TOTP)或硬件密钥,而非短信验证码(SIM Swap风险高);安装具备反钓鱼能力的浏览器扩展...,如Google Safe Browsing、Netcraft Toolbar等。...这些问题的答案,将决定我们在下一代网络安全秩序中的话语权。而对每一个普通人来说,最有效的防线,或许仍是那句老话:天上不会掉包裹,只会掉陷阱。编辑:芦笛(公共互联网反网络钓鱼工作组)

    5910

    你的电脑“原生盾牌”挡不住钓鱼攻击?英美测试敲响警钟,中国专家呼吁构建动态防御新范式

    结果显示:Windows Defender 依赖的 Microsoft SmartScreen 在 Edge 浏览器中完全未能拦截任何测试页面;macOS 通过 Safari 调用 Google Safe...当前主流防护体系大致可分为三个层级:第一层:URL 黑名单匹配(最基础,也是原生方案主力)这是 Windows SmartScreen 和 macOS Safe Browsing 的核心逻辑。...系统维护一个远程黑名单(如 Google 的 Safe Browsing API),浏览器在访问前将 URL 哈希值与云端比对。...使用 FIDO2 安全密钥(如 YubiKey)或认证器 App(如 Google Authenticator),可大幅降低账户被盗风险。养成“手动输入”习惯收到“紧急通知”?别点链接!...这是成本最低、效果最好的防御。此外,他还呼吁浏览器厂商开放更多安全 API,允许可信第三方深度集成反钓鱼能力。“安全不应是封闭花园里的自说自话。”

    7610

    标准API接口设计规范

    接口签名 接口签名是一种常见的安全措施,用于确保API请求的完整性和身份验证。...path 是API的路径。 params 是经过排序的参数字符串。 timestamp 是请求发起的时间戳。 secretKey 是只有服务器和客户端知道的密钥。...签名中包含时间戳可以防止重放攻击,需要验证时间戳的有效性。 错误处理:如果签名验证失败,服务器应该返回一个错误响应,并记录可能的安全事件。...接口签名机制能够有效地防止API请求被篡改,确保数据的安全性和请求的合法性。不过,它不提供加密通信的功能,因此对于敏感信息的传输,还需要结合使用加密技术。...统一的状态码:使用标准HTTP状态码来表示请求的结果,如200表示成功,400表示客户端错误,500表示服务器错误等。

    72610
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券