uri需使用应用可信域名 - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于OAuth重定向机制滥用的钓鱼攻击机理与防御策略研究

这种攻击手法巧妙地规避了传统邮件安全网关对伪造域名的检测，因为链接中的主域名往往是合法的。此外，由于登录过程发生在可信域下，浏览器的反钓鱼保护机制也往往失效。...）上注册一个恶意应用，并将redirect_uri设置为自己的恶意域名（如evil.com）。...授权服务器验证通过（因为前缀匹配），但在回调阶段，合法应用的后端代码未对url参数进行校验，直接将用户跳转至evil.com。这种手法利用了可信域名的声誉，极具迷惑性。...由于主域名target.com是可信的，用户往往不会察觉子域名的异常。...5.2 应用开发者的安全实践最小化重定向范围：开发者在注册redirect_uri时，应尽可能具体，避免使用根域名或宽泛的通配符。

2721 0

OAuth钓鱼攻击中链接验证失效机制与动态防御策略研究

即使显示了完整URL，其中包含的复杂参数（如client_id, redirect_uri, scope, state等）对于非技术人员来说如同天书，难以从中分辨出client_id对应的应用是否可信。...攻击者控制的仅仅是“诱导环节”（如发送钓鱼邮件）和“后续利用环节”（如使用窃取的令牌访问API），而最关键的“凭证/权限获取环节”完全由可信第三方执行。...因此，链接指向的可信域名恰恰是攻击成功的关键要素，而非破绽。反网络钓鱼技术专家芦笛指出，这种攻击模式实际上是利用了“信任传递”机制中的逻辑漏洞，将云服务商的信誉“借”给了恶意应用。...当用户看到应用名称是“Team Calendar”且来自可信的Azure AD租户时，很难意识到该应用实际上是一个数据窃取工具。此外，redirect_uri的合法性检查也是防御难点。...定期审计已授权的应用列表，撤销长期未用或权限过大的应用令牌。对于必须使用的高风险应用，应限制其令牌有效期，强制频繁轮换，以减少令牌泄露后的窗口期。

1291 0

您找到你想要的搜索结果了吗？

是的

没有找到

企业微信PC版应用跳转到默认浏览器，避坑指南，欢迎补充。。。

通过使用企业微信JS-SDK，网页开发者可借助企业微信高效地使用拍照、选图、语音、位置等手机系统的能力，同时可以直接使用企业微信分享、扫一扫等企业微信特有的能力，为企业微信用户提供更优质的网页体验。...return data; } public void setData(T data) { this.data = data; } } 企业微信设置代码写好了之后，我们需要配置企业微信，在应用管理里新增一个应用...，在应用主页中把**/wechat/openDefaultBrowser的调跳转路径填进去，打开这个应用之后就会跳到我们的前端页面。...坑二网页授权及JS-SDK 我碰到的第二个坑就是没有设置可信域名，导致报错。在设置可信域名弹出框中，需要把两个空都填上。...填第二个可信域名的时候，需要域名校验（如应用页面需使用微信JS-SDK、跳转小程序等, 需完成域名归属验证）。

5.6K2 0

Nginx使用反向代理为不同的端口应用配置相应的域名

本地8081 端口有某web应用, 但只开放了80端口, 有该ip域名一枚 pet.aimiter.com, 要通过域名pet.aimiter.com 访问本地8081端口的应用. image.png

1.4K4 0

信任的裂缝：三星 Members 应用内现高危钓鱼攻击，官方生态安全边界再受挑战

据 Samsung Magazine 于2025年11月18日率先披露，大量用户在该应用中收到来自“三星官方”的私信或通知，内容声称“账户存在异常”“需立即验证身份”，否则将面临高达500美元的罚款。...：钓鱼页面高度复刻三星账户登录界面，域名使用形似合法地址（如 samsung-account-verify[.]com），并启用 HTTPS 证书以增强可信度。...二、技术深潜：为何“官方应用”也会成为钓鱼温床？要理解此次事件的技术本质，需厘清移动应用生态中的信任传递链（Chain of Trust）。...检查是否为三星官方域名白名单val allowedHosts = setOf("account.samsung.com", "members.samsung.com")val host = Uri.parse...：钓鱼网站常使用 samsunq.com、samsung-support.net 等形似域名，注意字母替换与后缀差异；开启双重认证：优先选择 Authenticator 应用或物理安全密钥，避免依赖短信

3331 0

基于OAuth重定向机制的钓鱼攻击链分析与防御策略研究

由于目标域名是微软的官方域，且使用HTTPS加密，邮件过滤器通常会将其标记为可信，从而放行。当用户点击链接后，浏览器向微软发起请求。...在应用注册过程中，攻击者需配置关键的“重定向URI”（Redirect URI）。这是整个攻击成功的关键。...重定向URI的严格校验：对于必须允许注册的应用，应强制要求重定向URI必须是精确匹配的绝对路径，严禁使用通配符（如https://*.example.com/*）。...定期审计已注册应用的重定向URI，清理那些指向未知域名或不再使用的应用。应用权限审查：建立定期的权限审查机制，移除应用中未使用的权限（Scopes）。...浏览器安全增强：推广使用具备高级反钓鱼能力的浏览器扩展或企业版浏览器，这些工具应能识别“受信任域名到不可信域名”的快速重定向模式，并在跳转前向用户发出明确警告。

1341 0

PhantomCaptcha鱼叉攻击的技术机理与防御策略研究

这种“低检出率+高社会可信度”的组合，是现代鱼叉攻击的核心特征之一。...所有域名均通过俄罗斯注册商获取，服务器IP归属俄罗斯实体KVMKA，且与此前Coldriver（又名Star Blizzard）组织使用的基础设施存在重叠。...可使用Zeek（原Bro）编写检测脚本：event websocket_handshake_done(c: connection, is_orig: bool, host: string, uri: string...在技术层面，应强化对用户自执行行为的监控、对非常规域名的拦截、对加密隧道流量的元数据分析；在管理层面，需对高风险岗位实施最小权限原则与通信验证机制；在人员层面，则要通过持续、贴近实战的安全意识培训，提升...未来，随着AI生成内容（AIGC）在伪造公文、语音通话中的应用，类似PhantomCaptcha的攻击可能进一步自动化与规模化。

2641 0

企微获取用户敏感数据

二、企微应用配置 1、企微配置可信域名参考另一篇企微配置可信域名 https://blog.csdn.net/lydms/article/details/128885914 2、企微授权登录 3...、企微可信IP 仅所配IP可通过接口获取企业数据。...，请使用urlencode对链接进行处理 response_type 是返回类型，此时固定为：code scope 是应用授权作用域。...snsapi_privateinfo时必填否则报错； #wechat_redirect 是终端使用此参数判断是否需要带上身份信息员工点击后，页面将跳转至 redirect_uri?...每次成员授权带上的code将不一样，code只能使用一次，5分钟未被使用自动过期。权限说明：跳转的域名须完全匹配access_token对应应用的可信域名，否则会返回50001错误。

2.5K3 0

Coupang数据泄露事件中的社会工程攻击风险与防御机制研究

值得注意的是，泄露字段虽不包含支付卡号或交易记录，但已足以构建高可信度的身份上下文。...最后，恶意应用检测滞后。Android平台允许侧载（sideloading）应用，而多数用户未启用Google Play Protect。...用户仅需查看消息顶部标识即可判断真伪，无需点击链接。部署客户端URL重写拦截：在手机操作系统或安全App中集成实时URL分析模块。...uri = new URI(url);String host = uri.getHost().toLowerCase();return OFFICIAL_DOMAINS.contains(host);...（三）用户层：提升情境化安全素养开发交互式反诈训练模块：在银行App或政府服务平台嵌入5分钟微型模拟测试，用户需识别数条真假混合的短信/来电。

3181 0

红队攻防：从0到1搭建高隐蔽性C2基础设施

前置准备：硬件与工具清单类别要求与说明VPS 服务器优先选择海外节点（如 Vultr/Contabo），避免国内备案；配置 2 核 4G 起（支撑 100+Beacon 并发）域名非备案域名（推荐 Godaddy.../opt/cs/cobaltstrike.store \-storepass RedTeam@2024 \ # 密钥库密码（后续需频繁使用，记牢）-keypass RedTeam@2024 \ ...申请 Let's Encrypt 可信证书（规避浏览器风险提示）CS 默认自签名证书会被浏览器标记 “不安全”，易被蓝队察觉，需申请 Let's Encrypt 免费可信证书（90 天有效期，支持自动续签...使证书生效步骤 3：验证证书生效通过浏览器访问https://your.domain，地址栏显示 “小绿锁” 即生效；也可通过命令验证：# 查看证书 issuer（包含“Let's Encrypt”即可信...（2）Linux 平台测试（基于 CrossC2）针对 Linux 目标，需使用 CrossC2 生成适配的 Beacon：# 1.

1.1K1 0

内容安全策略( CSP )

你的策略应当包含一个default-src策略指令，在其他资源类型没有符合自己的策略时应用该策略(有关完整列表查看default-src )。...示例 1 一个网站管理者想要所有内容均来自站点的同一个源 (不包括其子域名) Content-Security-Policy: default-src 'self' 示例 2 一个网站管理者允许内容来自信任的域名及其子域名...(域名不必须与CSP设置所在的域名相同) Content-Security-Policy: default-src 'self' *.trusted.com 示例 3 一个网站管理者允许网页应用的用户在他们自己的内容中包含来自任何源的图片..., 但是限制音频或视频需从信任的资源提供者(获得)，所有脚本必须从特定主机服务器获取可信的代码....在此模式下，CSP策略不是强制性的，但是任何违规行为将会报告给一个指定的URI地址。此外，一个报告模式的头部可以用来测试一个修订后的未来将应用的策略而不用实际部署它。

4K3 1

.arpa域名滥用机制分析与基础设施层防御策略研究

反网络钓鱼技术专家芦笛指出，针对基础设施域名的滥用标志着网络钓鱼攻击已从“应用层伪装”向“协议层寄生”演变。...由于IPv6地址长度较长，其对应的.arpa域名结构更为复杂，采用 nibble（半字节）反转格式。uri.arpa：定义于RFC 3403，用于通过DNS进行统一资源标识符（URI）的动态发现。...2.3 协议约束与使用限制IETF相关标准（如RFC 3172, RFC 6761）明确规定，.arpa域名的使用受到严格限制。...5.2 终端与应用层防御：浏览器与邮件网关的增强浏览器厂商应将.arpa域名列入“特殊处理列表”。...唯有如此，方能筑牢互联网根基，确保.arpa等关键基础设施域名回归其纯粹的技术使命，不再成为网络犯罪的帮凶。这不仅是对单一威胁的回应，更是构建可信互联网生态的必由之路。

1921 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...；设置可信域名：将主页URL设为仿冒的https://microsoft-security[.]com。...管理员需手动启用“用户无法注册应用”或“仅限批准应用”策略，但多数企业未配置。4.2 权限审查机制缺失用户授权后，无自动通知或定期审查机制。许多员工甚至不知自己授权过哪些应用。...即使用户更改密码，旧令牌仍有效，导致凭证轮换失效。...技术上，需通过策略限制、行为监控与自动化响应降低暴露面；管理上，需提升用户对权限授权的认知水平。唯有将身份治理纳入整体安全架构，方能在云时代有效抵御此类高级钓鱼威胁。

3731 0

为什么你的网页需要 CSP?

使用它是防止跨站点脚本（XSS）漏洞的最佳方法。...为什么要配置 CSP 的主要好处就是可以全面禁止使用不安全的嵌入式 JavaScript。...配置示例示例 1 所有内容均来自站点的同一个源 (不包括其子域名) Content-Security-Policy: default-src 'self' 示例 2 允许内容来自信任的域名及其子域名...(域名不必须与CSP设置所在的域名相同) Content-Security-Policy: default-src 'self' *.trusted.com 示例 3 允许网页应用的用户在他们自己的内容中包含来自任何源的图片..., 但是限制音频或视频需从信任的资源提供者(获得)，所有脚本必须从特定主机服务器获取可信的代码.

3.9K2 0

rfc2818 --- HTTP Over TLS

但在实现中，当一端发送了closure alert之后，它可能会直接关闭链接而无需等待对端回复closure alert(此时上层应用应该接收了所有需要的数据)，这种实现称之为"incomplete close...，且如果报文的Content-Length和实际数据不匹配也是不可信的。...如果证书中出现多种类型的identity(如多个dNSName名称，匹配任意一个即可)，可能会包含通配符"*"，表示可以匹配任意单个域名或域名段。...f*.com匹配foo.com，但不匹配bar.com(即通配符域名证书只匹配同级别的通配域名，不能跨级匹配) 一些场景下，URI使用IP而非hostname，这种情况下，证书中必须出现iPAddress...automated client必须记录该错误日志到审计日志(audit log --如linux的审计日志功能)并关闭连接在很多情况下，URI的源不可信，此时需要检查server提供的证书的有效性，

1.3K1 0

GitHub设备码授权机制下的新型钓鱼攻击研究

尽管OAuth2设备授权流在物联网、命令行工具等无浏览器环境中具有合理应用场景，但其交互模式天然存在“信任盲区”：用户需手动输入由第三方提供的六位验证码至官方页面，而无法直观验证请求方身份。...服务端返回设备码与用户码GitHub响应包含：device_code：用于后续轮询令牌的长字符串；user_code：六位大写字母数字组合（如A1B2C3）；verification_uri：用户需访问的...3 攻击机制剖析3.1 攻击前提与准备攻击者需具备以下条件：可调用GitHub公开API的能力（无需认证）；获取至少一个合法的client_id（可复用公开应用ID，如VS Code的01ab8ac9400c4e429b23...，撤销未知或长期未用的应用；使用专用令牌替代OAuth：对于自动化任务，优先使用Personal Access Token（PAT）并限定仓库与权限；启用额外审计日志：开启GitHub的audit log...7 结语GitHub设备码钓鱼攻击代表了身份认证领域一种新型对抗范式：攻击者不再试图伪造可信实体，而是劫持合法流程中的信任环节。

4021 0

滥用OAuth错误流投递恶意软件的攻击机理与防御研究

由于目标域名是微软的官方域，且使用HTTPS加密，邮件过滤器通常会将其标记为可信，从而放行。当用户点击链接后，浏览器向微软发起请求。...值得注意的是，注册一个基本的Azure AD应用门槛极低，无需信用卡或复杂的验证。在应用注册过程中，攻击者需配置关键的“重定向URI”（Redirect URI）。这是整个攻击成功的关键。...重定向URI的严格校验：对于必须允许注册的应用，应强制要求重定向URI必须是精确匹配的绝对路径，严禁使用通配符（如https://*.example.com/*）。...定期审计已注册应用的重定向URI，清理那些指向未知域名或不再使用的应用。应用权限审查：建立定期的权限审查机制，移除应用中未使用的权限（Scopes）。...浏览器安全增强：推广使用具备高级反钓鱼能力的浏览器扩展或企业版浏览器，这些工具应能识别“受信任域名到不可信域名”的快速重定向模式，并在跳转前向用户发出明确警告。

951 0

记一次企业微信对接踩坑之旅(ಥ_ಥ)

前情提要对接之前已经有了基于微信公众号的 H5 应用。需要将 H5 应用接入企业微信(这里应用需要提供给其它企业使用，所以先申请成为了服务商)。...# 网页应用开发信息配置 # 配置内容使用应用主页：用户从企业微信工作台进入应用时会直接跳转到主页URL 可信域名：仅支持可信域名内的应用调用OAuth2授权、JSSDK等安装完成回调域名：用户安装成功后可指定跳转至该域名的链接...ticket参数推送给此URL Token：用于生成签名校验回调请求的合法性 EncodingAESKey：回调消息加解密参数，是AES密钥的Base64编码，用于解密回调消息内容对应的密文 # 配置流程 1.可信域名验证...appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect 注：scope...2.使用 code 换取企业成员 userid 使用第三方应用的suite_access_token及 code 换取企业成员信息 3.使用企业的永久授权码获取企业 access_token 4.

4.4K3 0

跟我一起探索HTTP-内容安全策略（CSP）

你的策略应当包含一个 default-src 策略指令，在其他资源类型没有符合自己的策略时应用该策略（有关完整列表，请查看 default-src 指令的描述）。...示例 1 一个网站管理者想要所有内容均来自站点的同一个源（不包括其子域名）。...Content-Security-Policy: default-src 'self' 示例 2 一个网站管理者允许内容来自信任的域名及其子域名（域名不必须与 CSP 设置所在的域名相同）。...Content-Security-Policy: default-src 'self' *.trusted.com 示例 3 一个网站管理者允许网页应用的用户在他们自己的内容中包含来自任何源的图片，但是限制音频或视频需从信任的资源提供者...，所有脚本必须从特定主机服务器获取可信的代码。

1.3K2 0

企业微信PC版应用跳转到默认浏览器，避坑指南，欢迎补充（Vue项目版）。。。

需要注意的问题设置可信域名如应用页面需使用微信JS-SDK、跳转小程序等, 需完成域名归属验证。...=404; } 4、重启nginx 最后我们来看下效果：然后，点击验证，就可以验证通过了：设置企业可信IP 记得要设置企业可信IP，不然会报：not allow to access...sdk-js相关接口的页面地址该地址需要配置到应用后台的可信域名下 const paramUrl = window.location.href.split('#')[0] this.paramObject.url...，生成方法同上，但需要使用应用登录授权的 jsapi_ticket return { timestamp: response.data.timestamp, nonceStr: response.data.nonceStr...sdk-js相关接口的页面地址该地址需要配置到应用后台的可信域名下 const paramUrl = window.location.href.split('#')[0] this.paramObject.url

2.2K1 0

点击加载更多

基于OAuth重定向机制滥用的钓鱼攻击机理与防御策略研究

OAuth钓鱼攻击中链接验证失效机制与动态防御策略研究

企业微信PC版应用跳转到默认浏览器，避坑指南，欢迎补充。。。

Nginx使用反向代理为不同的端口应用配置相应的域名

信任的裂缝：三星 Members 应用内现高危钓鱼攻击，官方生态安全边界再受挑战

基于OAuth重定向机制的钓鱼攻击链分析与防御策略研究

PhantomCaptcha鱼叉攻击的技术机理与防御策略研究

企微获取用户敏感数据

Coupang数据泄露事件中的社会工程攻击风险与防御机制研究

红队攻防：从0到1搭建高隐蔽性C2基础设施

内容安全策略( CSP )

.arpa域名滥用机制分析与基础设施层防御策略研究

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

为什么你的网页需要 CSP?

rfc2818 --- HTTP Over TLS

GitHub设备码授权机制下的新型钓鱼攻击研究

滥用OAuth错误流投递恶意软件的攻击机理与防御研究

记一次企业微信对接踩坑之旅(ಥ_ಥ)

跟我一起探索HTTP-内容安全策略（CSP）

企业微信PC版应用跳转到默认浏览器，避坑指南，欢迎补充（Vue项目版）。。。

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐