Twitter开发人员API访问多个帐户 - 腾讯云开发者社区

文章/答案/技术大牛

发布

超3200个应用程序泄露了 Twitter API 密钥

近日，网络安全研究人员发现一组异常的移动应用程序，这些应用程序向民众公开了 Twitter API 密钥，据统计，此类应用程序多达 3200 个。...网络安全公司 CloudSEK 首次发现了这一问题，该公司在检查大型应用程序集合是否存在数据泄漏时，发现了大量应用程序泄露了 Twitter API 密钥。...据悉，造成这一现象的主要原因是开发者在整合移动应用与 Twitter 时，会得到一个特殊的认证密钥（或称），允许其移动应用与 Twitter API 交互。...CloudSEK 强调，API 密钥泄漏一般是应用程序开发人员造成的，他们在开发过程中将认证密钥嵌入到 Twitter API 中，但是之后并未删除。...在这些情况下，凭据存储在以下位置的移动应用程序中：阅读某人的直接消息；进行转发和点赞；创建或删除推文；删除或添加新关注者；访问帐户设置；更改显示图片。

1.1K2 0

无密码绕过！黑客利用ChatGPT劫持Facebook账户

以 Facebook 商业账户为目标的“僵尸军团” "快速访问 Chat GPT "的扩展程序实际上是通过连接聊天机器人的 API 实现了对 ChatGPT 的快速访问，但在访问过程中，该扩展还收集了用户浏览器中存储的包括谷歌...、Twitter 和 YouTube 以及任何其它活动在内的所有 cookie 列表。...如果某个用户在 Facebook 上有一个活动、经过验证的会话，则恶意扩展插件为开发人员访问 Meta 的 Graph API。...API 访问使扩展能够获取与用户 Facebook 帐户相关的所有数据，甚至可以代表用户采取各种行动。...一个有经济动机的网络罪犯活动在 Facebook 通过其 Meta Graph API 授予访问权之前，首先必须确认该请求是来自一个经过认证的可信用户，为了规避这一预防措施，威胁者在恶意的浏览器扩展中加入了代码

1.8K2 0

您找到你想要的搜索结果了吗？

是的

没有找到

从0开始构建一个Oauth2Server服务用户登录及授权

通常像 Twitter 或 Facebook 这样的网站希望他们的用户在大部分时间都登录，因此他们为他们的授权屏幕提供了一种方式，通过不要求他们每次都登录来为用户提供简化的体验。...但是，根据您的服务以及第三方应用程序的安全要求，可能需要要求或允许开发人员选择要求用户在每次访问授权屏幕时都登录。...在谷歌的API中，应用程序可以添加prompt=login授权请求，这会导致授权服务器强制用户重新登录，然后才会显示授权提示。...重要的是，用户知道他们当前登录的是哪个帐户，以防他们管理多个帐户，这样他们就不会错误地授权不同的用户帐户。申请详情授权界面应该清楚地标识发出请求的应用程序。...这可以是简单的一句话，比如“此应用程序将能够访问您的帐户，直到您撤销访问权限”或“此应用程序将能够访问您的帐户一周”。有关令牌生命周期的更多信息，请参阅访问令牌生命周期。

8943 0

Github项目推荐 | 被昨天的股票吓哆嗦了吗，试试用Trump2Cash帮你赶紧脱坑

每当特朗普发推文时，它都会使用Twitter Streaming API得到通知。...TradeKing API进行股票交易。...设置身份验证从shell环境变量中读取不同API的身份验证密钥。每项服务都有不同的步骤来获取它们。 Twitter 登录你的Twitter帐户并创建一个新应用程序。...>" 如果你希望推文来自拥有该应用程序的同一帐户，只需在同一页面上使用访问令牌和访问令牌密钥即可。...如果你想用其他帐户发送推文，请按照步骤获取访问令牌。

2.9K5 0

认证账户被黑，威胁行为者借名人推特发送钓鱼信息

近期，威胁行为者正入侵Twitter认证帐户，他们通过发送精心编造的虚假钓鱼消息来试图窃取其他经过认证的用户凭据。...twitter非常重视平台的安全性，如果你没有完成身份验证过程，我们会在48小时内暂停你的帐户。”...为了测试网络钓鱼诈骗，Sergiu Gatlan访问了DM中的tinyurl.com地址，该地址将他重定向到https://twitter-safeguard-protection[.]info/appeal...这个网站首先要求一个Twitter用户名，当进入测试账户时，它使用后端的Twitter API来检索测试账户的照片，如下所示。显示合法图片增加了网络钓鱼诈骗的合法性。...在输入正确密码后，它会提示输入帐户的电子邮件地址，并且假的电子邮件地址也会被拒绝，这个行为表明网络钓鱼网站正在使用 Twitter API 来检查有效的帐户信息。

9661 0

从0开始构建一个Oauth2Server服务授权范围 Scope

如果用户确切知道应用程序可以用他们的帐户做什么和不能做什么，他们将更愿意授权应用程序。范围是一种控制访问并帮助用户识别他们授予应用程序的权限的方法。请务必记住，作用域与 API 的内部权限系统不同。...这意味着需要访问 YouTube API 的应用程序不一定也能够访问用户的 Gmail 帐户。 Google 的 API 是有效使用范围的一个很好的例子。...如果请求授予应用程序对用户帐户的完全访问权限，或访问其帐户的大部分内容（例如能够执行除更改密码之外的所有操作），则服务应非常清楚地说明这一点。...在创建 Twitter 应用程序时，您可以选择您的应用程序是需要读+写访问权限还是只需要读取用户帐户的访问权限。这是一种导致 OAuth 2.0 范围概念发展的机制。...您可以使用您的 Twitter 帐户登录该应用程序，它会抓取您过去的推文并进行分析。然而，它也自动发推文说“我的 Twifficiency 分数是 __%。你的是啥呢？” 带有网站链接。

1K3 0

开发者：Mastodon和Bluesky想要你的Twitter机器人

机器人指的是使用平台的 API 发布内容的自动化帐户，通常按照开发者定义的计划发布。它们是了解社交媒体平台的 API 和应用程序开发能力的好方法。...至于处理 Mastodon API，Bohacek 说这很容易。 “特别是对于 Mastodon 来说，创建机器人帐户非常容易，”他在回复我的 Mastodon 查询时写道。...“就像设置常规帐户一样，你不需要验证你的电话号码，而这是 Twitter 的一项要求。Mastodon API 也非常易于使用，并且文档编制得很好，至少对于我自己的需求是这样。...“然后他们还更改了所有 API，”Kazemi 解释道，“这些 API 是机器人与 Twitter 通信的编程接口。所以他们在没有任何警告的情况下更改了这些 API，所有东西都坏了。”...如果Bluesky被出售（就像Twitter一样）会怎样？或者如果它决定更改开发人员的规则（就像Twitter一样）会怎样？自从我发表那篇文章以来，对Bluesky的更深入的批判出现了。

2860 0

API NEWS | Money Lover爆出潜在API漏洞

本周，我们带来的分享如下：Money Lover爆出潜在API漏洞丰田管理运营平台的API漏洞一篇关于标准测试遗漏的API缺陷文章Twitter宣布实施API付费，解决机器人滥用问题Money Lover...Zveare声称，他能够利用安全性较差的应用程序编程接口（API）来闯入丰田GSPIMS系统，并可以完全访问丰田内部项目，文档和用户帐户，包括丰田外部合作伙伴/供应商的用户帐户。...Twitter宣布实施API付费解决机器人滥用问题本周，简单介绍Twitter在打击滥用其API的机器人帐户方面的进展。...Twitter团队宣布，他们将不再提供免费的API访问，有些人认为这是因为Twitter想借此手段赚更多的广告收入。...一些人持怀疑态度，认为社交媒体网站可以采取更好的策略和工具来打击这种僵尸网络，例如：识别可疑帐户、使用专业工具、将帐户与现实世界的个人和组织联系起来等等。

5042 0

Docker 正在删除开源组织，强制其付费

解决方法 Docker 的CTO 在 Twitter 上非正式地评论说[12]，他们将关闭不付款的帐户，并且不允许任何其他人接管名称。我希望看到以书面形式发布，作为书面承诺。...它不需要将服务帐户或长期令牌作为 Secret 存储在 CI 中，因为它已经可以生成短期令牌来访问 ghcr.io。想看一个完整的例子吗？...添加“写入”访问存储库的权限。确保您没有错过工作流文件的“权限”部分。...我从未预测过 Docker 自其重生以来的变化，从开源社区的宠儿，到每个开发人员的笔记本电脑，到今天的地步。...GitHub 如何伤害开源开发人员的一个典型例子是，当它取消所有通过 PayPal 支付的维护者赞助时。这是在很短的时间内完成的，对我的开源工作造成了很大的打击。

1.4K3 0

关于 Node.js 的认证方面的教程（很可能）是有误的

但是，如果我只是拷贝这个例子，我讲不了太多，因为没有数据库支持的例子，它假设我只是使用一些设置好的帐户。没关系，对吧？这只是一个内联网应用程序，开发人员说，下周将分配给我另外四个项目。...但是，如果攻击者通过 BSON 注入对数据库中的用户对象进行读取访问，或由于配置错误，可以自由访问 Mongo，这些令牌将非常危险了。...大多数开发人员都知道这一点，并尝试将他们的 AWS 密钥、Twitter 秘密等保留在他们胸前，但是这似乎并没有转移到被编写的代码中。让我们使用 JSON Web 令牌获取 API 凭据。...没有速率限制，攻击者可以执行在线字典攻击，比如运行 Burp Intruder 等工具，去获得获取访问密码较弱的帐户。帐户锁定还可以通过在下次登录时要求用户填写扩展登录信息来帮助解决此问题。...比如用户注册或检查登录密码的多个请求尽管是轻量级的 HTTP 的请求，但是会花费服务器大量的昂贵时间。

6.2K9 0

一场马斯克的反爬闹剧：Twitter一夜回到五年前？

虽然不确定马斯克具体指的是什么，但他很可能说的是从网站提取数据而不需要任何官方 API 的网络爬虫。毕竟，推特的 API 现在受到严格限制，使用者每月至少要花费 42,000 美元。...在此之前，普通用户无需登录帐户即可访问推特，在桌面或移动设备上的网络浏览器中就可以直接打开最喜欢的推文或查看最喜欢的创作者的个人资料。...限制未注册用户登录是第一步，到了周六，马斯克又出了新措施：“认证帐户每天只能阅读 6000 个帖子，未认证的帐户每天能看 600 个帖子；新的未认证的帐户每天能看 300 个帖子。”...几乎可以肯定这与他们关闭对推特内容的匿名访问有关。有网友猜测在前端程序中可能存在一个逻辑漏洞，开发人员必须小心翼翼地绕过它，才能使该服务变为私有（a private only service）。...当然，如果一项服务的开发人员编写的代码突然攻击另一项服务，那也是“DDOSing Yourself”，但这还是自下而上的。 “我不知道推特今天发生了什么......

7282 0

什么是OAuth 2.0？深度解析OAuth 2.0的工作原理和应用场景

获取访问令牌客户端使用授权代码来请求访问令牌。授权服务器验证授权代码，如果有效，颁发访问令牌。 5. 访问资源客户端使用访问令牌来请求资源服务器上的受保护资源。...第四部分：OAuth 2.0的应用场景 OAuth 2.0广泛应用于各种场景，以下是一些常见的应用场景：社交登录：用户可以使用他们的社交媒体帐户登录到其他应用程序，例如使用Google或Facebook...API访问：开发人员可以使用OAuth 2.0来访问第三方API，例如使用GitHub API或Twitter API。...单点登录：用户可以使用一个身份验证提供商登录到多个相关的应用程序，而无需多次输入凭证。授权访问：应用程序可以请求用户授权访问其资源，例如Google云存储或Dropbox。...它为开发人员提供了强大的工具，使他们能够创建安全、用户友好的应用程序，并能够与其他应用程序集成。希望本文能帮助你更好地理解OAuth 2.0的工作原理和应用场景。

8.3K4 0

Kubernetes的Top 4攻击链及其破解方法

攻击路径A：暴露的端点攻击在这种类型的网络攻击中，恶意行为者瞄准一个将其一个或多个端点暴露给公共互联网的Kubernetes集群。...步骤2：利用如果集群使用默认设置，其中服务帐户令牌被挂载到集群中的每个创建的pod中，攻击者可以访问令牌并使用它来进行身份验证，从而访问Kubernetes API服务器。...服务帐户令牌为他们提供了通过与令牌相关联的服务帐户访问Kubernetes API服务器的入口。...这可能使他们能够访问集群及其资源，包括敏感数据和应用程序。攻击链在这第四种攻击链类型中，黑客通过以下步骤冒充开发人员身份以获取对Kubernetes环境的访问。...步骤 2：利用他们窃取来自开发人员或DevOps工程师的版本控制系统（例如Git）的访问令牌。

7581 0

使用 Jenkins X、Kubernetes 和 Spring Boot 实现 CICD

将 Actuator starter 作为依赖项添加到 holdings-api/pom.xml 中： ? 你还需要允许访问其运行健康检查。...Jenkins X 将部署你的应用程序在一个 NGINX 服务器中,因此你也需要强制关闭 HTTPS，否则你将无法访问你的应用程序。修改 holdings-api/src/main/java/......Okta 是一种云服务，允许开发人员创建、编辑和安全存储用户帐户和用户帐户数据，并将其与一个或多个应用程序相连接。...你可以通过将这些值添加到 environment 顶部附近的部分来访问 Jenkinsfile 中的这些值。 ?...如果你有任何疑问，请在下面添加评论，在 Twitter 上发帖，或在我们的开发者论坛上发帖提问。要获得有关未来博客文章和开发人员智慧的通知，你可以在Twitter上关注我的整个团队。译者：史彦军

6.2K1 0

Twitterrific for Mac(Twitter客户端)适配Monterey 12.x

Twitterrific for Mac使Twitter变得有趣。...时间轴嘉豪 - 控制你的微博与多个时间轴窗口从同一个帐户或多个帐户，所有这一切都组织在您的Mac的桌面上。...完全可访问性 - 浏览时间表，撰写推文，甚至可以使用Voice Over快速轻松地添加图像描述。...更新日志Twitterrific for Mac(Twitter客户端)适配Monterey 12.x v5.4.9激活版一个新图标，以及蒙特利和易访问性的小补丁。...改进添加了一个新的雪鸟图标漏洞修复在蒙特利，视频播放器popover现在可以通过拖动内容来分离方形图标版本现在正确显示在蒙特利现在可以通过键盘快捷键（Cmd+6）访问“MyTweets”时间线

1.1K3 0

关于如何做一个“优秀网站”的清单——规范篇

（如： twitter:card" content="summary" />）改善方法：可以用Twitter推荐的Open Graph工具来标记内容。...（Open Graph地址：http://ogp.me/）必要时提供规范的URL 只有当您的内容在多个网址上可用时，才需要这样做。...当权限请求显示时，站点会使屏幕变暗确认方法：访问该网站并找到推送通知选择加入流程。...确认方法： ■创建一个服务帐户，并确保您看到保存密码/帐户对话框显示。点击“保存”。 ■清除网站的Cookie（通过点击挂锁或Chrome设置）并刷新网站。...确保您看到帐户选择器（例如，如果存在多个帐户）或自动重新登录。 ■退出并刷新网站。确保您看到帐户选择器。

4.8K7 0

OAuth 2 简介

它的工作原理是将用户身份验证委托给托管用户帐户的服务并授权第三方应用程序访问该用户帐户。OAuth 2 为 Web 和桌面应用程序以及移动设备提供授权流程。...本信息指南面向应用程序开发人员，概述了 OAuth 2 角色、授权授予类型、用例和流程。...应用程序对用户帐户的访问仅限于授予的授权范围（例如读或写访问）客户端：客户端是想要访问用户帐户的应用程序。在它可以这样做之前，它必须得到用户的授权，并且该授权必须经过 API 的验证。...资源服务器：资源服务器托管受保护的用户帐户。授权服务器：授权服务器验证用户的身份，然后向应用程序颁发访问令牌。从应用程序开发人员的角度来看，服务的 API 实现了资源和授权服务器角色。...该应用程序从请求资源的资源服务器（API），并介绍了访问令牌认证如果访问令牌有效，则资源服务器 (API) 将资源提供给应用程序此过程的实际流程将根据使用的授权授予类型而有所不同，但这是总体思路

8652 0

GitHub 关停俄罗斯「被制裁公司的」开发人员的帐户

俄罗斯软件开发人员声称，自己的GitHub帐户突然被关停，而GitHub甚至事先未发出警告，询问他们现在效力或以前效力的公司是否受到美国的制裁。...GitHub用户抱怨帐户受到不合理的关停 GitHub上被关停的个人帐户内容被删除，所有代码存储库立即无法使用，问题单和合并请求也是同样的情况。...Habr.com声称，一些俄罗斯开发人员就关停一事联系上了GitHub，结果收到了题为《GitHub和贸易管制》的电子邮件，邮件解释他们的帐户被禁用与美国制裁有关。...上诉表格要求个人证明：他们没有代表受制裁的实体使用其GitHub帐户。一个在Twitter上吐槽的开发人员声称，他在填写表格后可以撤销关停；帐户被关停是由于他之前的雇主受到制裁。...与此同时，GitHub的愿景是成为广大开发人员合作的全球平台，无论开发人员居住在哪里。我们全面审查政府制裁，以确保用户和客户不会受到超出法律规定的影响。

4562 0

2024年构建稳健IAM策略的10大要点

设计访问令牌在实现API安全之前，要为一个或多个API设计访问令牌的有效负载。这应该使用范围和声明来锁定令牌。在下面的示例中，使用“sales”范围来限制访问令牌的特权，仅用于销售上下文。...保持范围相当高级，以便它们适用于多个API。这种“访问令牌合同”应保持稳定。在使用许多细粒度权限的系统中，避免向访问令牌颁发所有权限，以消除访问令牌版本控制的需要。...在更改用户的身份验证方法时，关键是API继续在访问令牌中接收现有的用户标识，以便正确更新业务数据。始终解析登录到同一用户帐户的过程称为帐户链接，这也是授权服务器提供的另一项功能。 8....一种选择是在访问令牌中包含区域声明，以允许API网关可靠地将API请求路由到用户的区域。 9. 评审实现要集成OAuth，一种有用的方法是选择一些强大的开发人员来创建演示应用和演示API。...例如，API开发人员可以使用模拟访问令牌进行测试，Web开发人员可以只运行一个前端应用，其cookie由已部署的令牌处理API发出。 10.

6571 0

如何保护K8S中的Deployment资源对象

Service Account 当容器内的进程与 API 服务器通信时，您应该使用服务帐户进行身份验证。如果您没有为 pod 定义服务帐户，则将使用默认帐户。...在 Kubernetes 1.6 及更高版本中，您可以通过设置来选择不为容器中的服务帐户自动挂载 API 令牌。 automountServiceAccountToken: false....它们未加密，因此必须限制对安全对象的访问，并且您应该在 API 服务器的写入时启用加密。总结 Kubernetes 提供了多种方法来改善您组织的安全状况。...开发人员需要考虑这些结构以使他们的应用程序更安全。回顾一下：每个应用程序使用服务帐户，并将服务帐户与最低角色和权限要求绑定，以实现您的目标。...使用 Secrets 存储敏感信息，并应用最低权限 RBAC 来限制用户/SA 秘密访问。对于应用程序开发人员来说，这一切似乎都是压倒性的。

1.1K2 0

点击加载更多

超3200个应用程序泄露了 Twitter API 密钥

无密码绕过！黑客利用ChatGPT劫持Facebook账户

从0开始构建一个Oauth2Server服务用户登录及授权

Github项目推荐 | 被昨天的股票吓哆嗦了吗，试试用Trump2Cash帮你赶紧脱坑

认证账户被黑，威胁行为者借名人推特发送钓鱼信息

从0开始构建一个Oauth2Server服务授权范围 Scope

开发者：Mastodon和Bluesky想要你的Twitter机器人

API NEWS | Money Lover爆出潜在API漏洞

Docker 正在删除开源组织，强制其付费

关于 Node.js 的认证方面的教程（很可能）是有误的

一场马斯克的反爬闹剧：Twitter一夜回到五年前？

什么是OAuth 2.0？深度解析OAuth 2.0的工作原理和应用场景

Kubernetes的Top 4攻击链及其破解方法

使用 Jenkins X、Kubernetes 和 Spring Boot 实现 CICD

Twitterrific for Mac(Twitter客户端)适配Monterey 12.x

关于如何做一个“优秀网站”的清单——规范篇

OAuth 2 简介

GitHub 关停俄罗斯「被制裁公司的」开发人员的帐户

2024年构建稳健IAM策略的10大要点

如何保护K8S中的Deployment资源对象

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐