展开

关键词

假冒App引发新网络钓鱼威胁

网络犯罪分子利OAuth网络钓鱼来掌控员工电子邮件帐,然后传播到,例银行、会计(工资单系统)、云存储、网络登录等。即使受害者重置密码,黑也能够留在帐内。 代密码是,同意(可能不一项)权限请求,然后为提供OAuth令牌,该令牌可于访问全部或部分内容。这里是一些热门服务OAuth权限例子。这次攻击发生了什么? OAuth问题在于,服务供商有时很难判断生态系统中app是否100%合法且安全。问题在于,果黑可以欺骗、雅虎、脸书、推特或服务接受恶意app,可以利这种信任关系并劫持个人帐。 合法会请求一些访问权限,例联系人或电子邮件地址,但是果它要求“全部访问”或帐管理权限(例:“查看和管理你电子邮件”权限),你心里该响起警报。 因此,除火墙、杀毒和电子邮件白名单等预性安全措施外,制定良好事件响计划至关重要。果员工受到OAuth攻击,公司立即撤销该假冒访问权限,并检查黑是否能够利它进入任

37250

Facebook OAuth框架漏洞

但是,根据搜索和StackOverflow说法,发现这种方式多年来一直处于脆弱状态,暗示了将近9到10年。 该漏洞可能使攻击者劫持OAuth流并们可以来接管访问令牌。恶意网站可以同时最常见access_token,并且可以访问多种服务第三方网站。 验证缓解和旁路不足虽然们双方都知道OAuth核心点“dialogoauth仍然使令牌将重定向到page_proxy。 没有完全分析它们所做更改,但是猜想在前面缓解代码可能会破坏资源,甚至仲裁者本身也是此。这就是代码行移至底部原因。立即重建了安装。 影响力由于错误帖子配置,访问攻击者控制网站人可能已经使FacebookOauth了针对易受攻击第一方访问令牌。时间线2019年12月16日–已发送初次报告。

31420
  • 广告
    关闭

    云产品限时秒杀

    云服务器1核2G首年38元,还有多款热门云产品满足您的上云需求

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    全解Google()基础设施架构安全设计

    数据访问管理典型服务为终带来了很多便利,例Gmail,在使类似中,将会和基础设施进行交互,Gmail服务中调通讯录服务API访问终地址薄。 终登录后,将会通过该身份服务进行多种方式验证,密码、cookie信息、OAuth令牌等,之后,任发起到内部后续请求也将需要身份信息验证。 除此之外,还通过实施漏洞奖励计划,来发现和基础设施存在漏洞,到目前为已经为此计划支付了数百万美元漏洞赏金。 另外,投入了大量资金开发了员工安全操作监控系统,同时,还配置了针对员工安装、下载、浏览器扩展和访问内容安全扫描系统。 进入公司内部局域网,并不意味着可以获访问控制权限。使级别访问控制管理,只允许那些来自特定管理设备、网络或地埋位置限定才能访问内部控制

    1.6K50

    OAuth 2.0身份验证

    ,该令牌证明们具有访问权限,可以访问所请求数据,实际情况发生,具体决于访问类型使此访问令牌进行API调,以从资源服务器中获相关数据OAuth 2.0授权范围对于任OAuth OAuth服务本身配置中可能会出现漏洞,在本节中们将向您展示这两种上下文中最常见一些漏洞漏洞通常会使信誉良好、经得起战斗OAuth服务,该服务受到良好保护 在隐式流中,此POST请求通过浏览器暴露给攻击者,因此未正确检查访问令牌是否与请求中数据匹配,则此行为可能导致严重漏洞,在这种情况下,攻击者只需更改发送到服务器参数即可模拟任 ,最终这可能会完全损害—攻击者可能会以受害者身份登录到使OAuth服务注册。 在授权代码流情况下,攻击者可能会在使受害者代码之前该代码,然后,们可以将此代码发送到合法回调点(原始重定向uri)以访问,在这种情况下,攻击者甚至不需要知道机机密或由此产生访问令牌

    21910

    云存储平台&服务安全分析报告

    随着移动设备、平板电脑、V**s、远桌面、SaaS使,越来越多选择将数据存储在云,也就是说将数据存储在一个没有边界区域内。然而对于这样一个没有边界区域,怎样保护数据安全呢? 另外,当从本地设备传输文件到网上时,黑可以从中文件;当从网上将文件下载到本地时,黑可以借机远访问数据。除了尝试入侵受害者文件同步账,还可以攻击者账同步受害者终。 6.1 GoogleDrive使OAuth 2.0进行授权。当首次登陆GoogleDrive时,GoogleDrive会提示输入名和密码。 该数据库中还存储着版本信息、同步文件路径、邮箱等。 尽管Dropbox为了这种情况提供了审计跟踪。攻击者一旦连接到管理界面,就能删除所有日志,从而隐藏踪迹。6.3 OneDriveOneDrive也是使OAuth 2.0进行授权。

    58690

    竟能通过安全审核!智能音箱变“间谍”,黑钓鱼盗密码,亚马逊都中招

    SRLabs白帽黑开发了八个,它们被伪装成星座运势查询和随机数生成器,但事实上,它们都是“秘密间谍”,能暗中偷听对话并密码。 比一个星座运势查询可以通过“Alexa,打开‘星座’”这样特定短语来调。 通过标准开发接口,研究人员们发现,们完全可以通过两种方式来隐私,还不会被亚马逊和抓包:请求并收集包括密码在内个人数据在认为智能音箱已经停收听后继续就像视频中演示那样 两家公司已经删除了这几个,并表示们正在加强审核流,以避免真正居心险恶者利这些规则漏洞。亚马逊回称:信任对们很重要,们会在第三方认证过中进行安全审查。 针对SRLabs发现问题们已经采了预和检测措施,以再次发生。也表示:们正在采机制来将来再次发生这样问题。据悉,正在对智能音箱上所有第三方进行审查。

    18320

    Facebook OAuth漏洞导致Facebook账劫持

    另外,攻击者可以通过控制架设恶意站点,针对大多数APPInstagram, Oculus, Netflix, Tinder, Spotify等),access_token,获相关交互服务和第三方网站访问控制权 及时向Facebook上报了该漏洞,Facebook官方也及时地确认了该漏洞有效性,并立即进行了以下修复措施:废弃“connectping”服务,并对所有Facebookaccess_token 绕过修复措施虽然和Facebook都清楚OAuth核心服务“dialogoauth“中,仍然存在携带token跳转到page_proxy情况,而且在上述漏洞报告中也提醒过们需要进行修复。 但分析之后发现,www.facebook.com后并没有遵循xd_arbiter重定向状态,而是为请求域创建了closed_window 和 postMessage() 调攻击,此规则虽然对 漏洞影响攻击者利该漏洞,部署控制恶意站点诱惑访问,当在使FacebookOauth身份验证机制时,就能Facebook access token,实现对Facebook或它第三方账劫持

    43020

    解释了最近 YouTube 和 Gmail 宕机原因

    表示,周一影响大多数面向消费者系列全球认证系统中断是由于自动配额管理系统中一个 bug 影响了 ID 服务。这个全球性系统故障使得无法登录到并验证所有云服务。 由于 Clop 勒索软件攻击,12月14日,星期一,在将近一个小时时间里无法访问 Gmail,在宕机期间,无法通过 Gmail 移动发送电子邮件,也无法通过 POP3为桌面接收电子邮件 全球身份管理系统识别服务是周一宕机事件根源,它为所有存储唯一标识符,并管理 OAuth 令牌和 cookies 身份验证凭据。 尽管设置了安全检查以计划外配额更改,但是它们无法对零报告负载单个服务场景做出正确。“结果是,账数据库配额减少了,这使得 Paxos 领导人无法写作,” Google 补充道。” 在某些情况下,反弹邮件中引了完整 SMTP 错误消息。这些消息行为决于连接到 Google SMTP 服务外部SMTP 。”

    11910

    云服务最重要“看门狗”——IaaS

    专有没有SaaS等专安全解决方案,也没有与安全产品集成API.虽然过去们认为创业公司和云服务提供商是处理AWS、Azure或云平台安全性公司,但今财富榜前2000公司仍然面临着在云保护挑战 IaaS安全威胁来自组织内部和外部。黑攻击企业IaaS账数据或计算资源,可以通过凭据,获错误访问密钥或利配置错误设置来利此向量。 医疗保健公司CareSet发生配置错误,导致黑云平台账目标发起入侵攻击,在几天之后都没有恢复,暂时关闭了该公司。 在AWS、Azure和云平台或IaaS平台上保护计算环境从配置审核开始,以下是对于确保IaaS使至关重要四种类型配置:1、身份验证多重身份验证是任具有敏感公司信息,尤是暴露于Internet 3、非活跃账非活跃和未使对IaaS环境造成不必要风险,审查并删除不活跃可以损害和滥,降低生产力成本。4、安全监控将计算迁移到云最大问题是失去可视化和证。

    474100

    IaaS:云安全下一个篇章

    从制造业、金融服务到公共部门行业中公司信任云服务提供商及关键数据,软件即服务(SaaS)Office 365和Salesforce)快速增长决于信任。 虽然过去们认为创业公司和云服务提供商是处理AWS、Azure或云平台安全性公司,但今财富榜前2000公司仍然面临着在云保护挑战。IaaS安全威胁来自组织内部和外部。 医疗保健公司CareSet发生配置错误,导致黑云平台账目标发起入侵攻击,在几天之后都没有恢复,暂时关闭了该公司。 在AWS、Azure和云平台或IaaS平台上保护计算环境从配置审核开始,以下是对于确保IaaS使至关重要四种类型配置:1、身份验证多重身份验证是任具有敏感公司信息,尤是暴露于Internet 3、非活跃账非活跃和未使对IaaS环境造成不必要风险,审查并删除不活跃可以损害和滥,降低生产力成本。4、安全监控将计算迁移到云最大问题是失去可视化和证。

    39060

    Token令牌不是后万能解药!8个漏洞,有1个你就得爬起来加班了

    “日,家贼难。”“打铁还需自身硬!”养成铁纪律,有助于铸造坚固城池。本文从八个方面全面排查你令牌系统。1 - 注意OAuth凭据泄漏你把代码推到GitHub了? OAuth凭据是否也存储在仓库里,特别是密码?这可是当今头号凭据泄漏来源。果那些凭证被了,任人都可以冒充你。果你察觉凭据可能已被破坏,请立即重新生成。 您确实该考虑OpenID Connect (OIDC),这是一种补充规范,而不是尝试自己在OAuth上实现身份验证。OIDC允许共享一部分个人资料,而无需共享凭证。 果你使JWTs来携带一些精简必要信息,则可以采不同方法:在和后之间,使不透明字符串或基本JWT。在后,验证请求,并使请求参数注入新JWT。 使安全cookie、httpOnly标志和CSRF措施来令牌被。8 - 始终通过HTTPS在请求体中传输令牌这样做可以限制令牌在运行中被捕获,避免被写入代理日志或服务器日志风险。

    50240

    关于Web验证几种方法

    实现 OTP 传统方式:发送名和密码经过凭据验证后,服务器会生成一个随机代码,将存储在服务,然后将代码发送到受信任系统在受信任系统上获代码,然后在 Web 上重新输入它服务器对照存储代码验证输入代码 ,并相地授予访问权限TOTP 工作:发送名和密码经过凭据验证后,服务器会使随机生成种子生成随机代码,并将种子存储在服务,然后将代码发送到受信任系统在受信任系统上获代码,然后将输入回 网站访问你 Google 云硬盘?这里就会OAuth。你可以授予访问另一个网站上资源权限。在这里,你授予就是写入硬盘访问权限。优点提高安全性。 果 OpenID 系统关闭,则将无法登录。人们通常倾向于忽略 OAuth 请求权限。在你配置 OpenID 提供方上没有帐将无法访问你。 一些基本经验法则:对于利服务模板 Web ,通过名和密码进行基于会话身份验证通常是最合适。你也可以添加 OAuth 和 OpenID。

    7430

    Apple Pay终于来了,安全性咋样?

    据报道,苹果支付系统本身并未遭黑侵入,而是犯罪分子在苹果支付系统中输入了黑侵入零售商系统卡信息,再苹果支付服务购物。 那么,NFC支付到底是什么? 被打压理由是安卓手机使了一个名为安全单元(Secure Element)组件,于NFC支付系统在受保护内存中存储金融数据。由于安全单元使,移动运商要求禁钱包也能在远通过“查找iPhone”,或iCloud.com网页将它设为“丢失模式”,Apple Pay便会停。 第二点,们必须考虑第三方APP和恶意影响Apple Pay。当苹果还没有向第三方APP开放接口时,们几乎在每个移动环境都观察到了恶意。 此刻,尽管看起来苹果支付和NFC移动支付系统提供了增强安全性,传统零售业卡泄露事件发生。

    36450

    使第三方账号(亚马逊账号)接入AWS IoT系统

    们想象这么一个IoT场景:厂商A使AWS IoT来开发物联网解决方案,那么A把设备卖给时候,需要使能够登入AWS IoT系统来控制购买A设备,也就是说给分配适当权限。 为解决这个问题,便产生了直接使第三方账号身份来映射到AWS IoT系统中方法,也就是说,只要有一些公共第三方身份提供商账号(、亚马逊等),便允许直接使AWS IoT系统。 主要有下几步:(1) 在developer.amazon.com后台注册一个OAuth,还要提供隐私策略,获得一个亚马逊发放OAuth ClietID和Client Secret,这样亚马逊才能认证这是哪个开发者想获得信息 这个ID该是唯一匿名化身份标识,即不会泄露信息,不同Client获得也不一样,被追踪。2. 给对分配适当权限现在们获得了身份,但是要访问是AWS IoT中资源,设置才能将AWS中权限,关联至第三方身份提供商给身份呢?

    57040

    大话Apple Pay(苹果支付)安全

    果苹果能够正确地实现NFC支付系统,它“绝对”能提高安全性,灾难级卡信息泄密事件再次独占新闻头条。 安全元件使黑难以利数字串于任。在传统模型中,商家必须要接收信卡信息,即使是已加密过。商家必须承担保存和处理信卡号责任。 这个过也可以阻从商家寻找信卡,因为们仅使基于NFC支付系统来处理设备账号码和安全交易信息,而不是信卡号。 第二点,们必须考虑第三方APP和恶意影响Apple Pay。当苹果还没有向第三方APP开发接口时,们早已在几乎每个移动环境观察到了恶意。 此刻,尽管看起来苹果支付和NFC移动支付系统提供了增强安全性,传统零售业卡泄露事件发生。

    367100

    Apple Pay终于来了,支付安全性呢?

    据报道,苹果支付系统本身并未遭黑侵入,而是犯罪分子在苹果支付系统中输入了黑侵入零售商系统卡信息,再苹果支付服务购物。那么,NFC支付到底是什么?它又能真确保万无一失吗? 另外也可以集成在NFC设备中它智能卡安全设备中。【基于主机卡仿真(HCE)】:当采安全元件提供NFC卡仿真,被仿真卡是通过Android配置到该设备上SE,图1。 也能在远通过“查找iPhone”,或iCloud.com网页将它设为“丢失模式”,Apple Pay便会停。 第二点,们必须考虑第三方APP和恶意影响Apple Pay。当苹果还没有向第三方APP开放接口时,们几乎在每个移动环境都观察到了恶意。 此刻,尽管看起来苹果支付和NFC移动支付系统提供了增强安全性,传统零售业卡泄露事件发生。

    33590

    Apple Pay终于来了,支付安全性呢?

    据报道,苹果支付系统本身并未遭黑侵入,而是犯罪分子在苹果支付系统中输入了黑侵入零售商系统卡信息,再苹果支付服务购物。 那么,NFC支付到底是什么?它又能真确保万无一失吗? 被打压理由是安卓手机使了一个名为安全单元(Secure Element)组件,于NFC支付系统在受保护内存中存储金融数据。由于安全单元使,移动运商要求禁钱包也能在远通过“查找iPhone”,或iCloud.com网页将它设为“丢失模式”,Apple Pay便会停。 第二点,们必须考虑第三方APP和恶意影响Apple Pay。当苹果还没有向第三方APP开放接口时,们几乎在每个移动环境都观察到了恶意。 此刻,尽管看起来苹果支付和NFC移动支付系统提供了增强安全性,传统零售业卡泄露事件发生。

    1.9K50

    不要使Resource Owner Password Credentials

    同时,这种方式在引导你养成一个坏习惯。很像一种网络欺骗攻击。一个不知名要求你提供凭证。 试想一个让你输入你或者facebook凭证,而不是重定向到或者fb页面情况。果你鉴权服务器和client都是你自己,那相对来说可以原谅一些。 实际上没有在授权服务器做真正认证(注:可能真正认证包括scope显示之类),你只是在使token口。 使ROPC和SPA SPA作为一种常见,一般不保存secret,所以少了很大一部分安全保护。果你要在保存secret,这是一种妥协策略。 但也曾经在一个vb.netwebform集成了IdentityServer,所以,可能也不是很建议你使。最后说两点。果你是基于浏览器,试试 Implicit。

    18940

    3.基于OAuth2认证(译)

    实际上,果你说“有OAuth2,并且需要身份认证”,那么请继续阅读。什么是认证(Authentication)?在访问一个上下文环境中认证会告诉当前是谁以及是否存在。 另外一个混淆因素,一个OAuth通常包含在一些认证中:资源所有者在授权步骤中向授权服务器进行身份验证,向令牌点中授权服务器进行身份验证,可能还有。 几乎在所有这些情况下,OAuth核心功能都将保持不变,而发生事件是身份委派给们正在尝试登录。然后,成为身份API消费者,从而找出先前授权给。 另一个重要好处是,可以同时将访问受保护API委托给身份,使开发人员和最终管理更简单。 最后,token本身是由提供私钥进行签名,除了在获token中受TLS保护之外,还添加了一个额外保护层,以类似模拟攻击。

    631100

    制订云DDoS保护计划

    并不只是数据那么简单;们还可能使某些垃圾邮件请求和流量来让运行崩溃。可以使一些工具和技术来保护您云免受DDoS攻击危害。 即便攻击者无法入侵某个工作负载或者存储在公共云中数据,们仍然能够通过超量合法服务请求或流量来堵塞网络,从而降低云运行性能,或者完全禁某个或服务。 选择使SDN来对DoS攻击不同商采不同措施来帮助保护们存储在云中数据。例公司有一个可于提供、配置和管理虚拟网络Andromeda,这是一个软件定义网络。 在于创建一个安全、高性能和可编环境,以于托管计算引擎虚拟机。 还能云DDoS或DoS攻击?

    53470

    扫码关注云+社区

    领取腾讯云代金券