谷歌oAuth登录-如何仅允许白名单中的电子邮件登录我的应用程序 - 腾讯云开发者社区

文章/答案/技术大牛

发布

假冒App引发的新网络钓鱼威胁

网络犯罪分子利用OAuth网络钓鱼来掌控员工电子邮件帐户，然后传播到其他帐户，例如银行、会计（工资单系统）、云存储、客户端网络登录等。即使受害者重置密码，黑客也能够留在帐户内。...OAuth的问题在于，服务供应商有时很难判断其生态系统中的app是否100％合法且安全。...OAuth网络钓鱼的本质——欺骗服务供应商允许一个app，然后说服消费者授予其帐户访问权限。...例如，在谷歌文档诈骗中，黑客将“hhhhhhhhhhhhhhhhh@mailinator.com”插入“To”字段，并且私密发送给实际收到这封电子邮件的人，这两者都是“死亡的赠品”。...因此，除防火墙、杀毒和电子邮件白名单等预防性安全措施外，制定良好的事件响应计划至关重要。如果员工受到OAuth攻击，公司应立即撤销该假冒应用的访问权限，并检查黑客是否能够利用它进入任何其他帐户。

1.9K5 0

一步一步教会你如何使用Java构建单点登录

在本文中，我将向您展示如何使用Okta和Spring Boot通过两个客户端应用程序和一个资源服务器来实现单点登录。...我还将讨论如何使用访问策略来强制执行身份验证和授权策略，以及如何基于应用程序范围来限制对资源服务器的访问。在进入代码之前，您需要适当的用户身份验证配置。...一步一步教会你如何使用Java构建单点登录" /> 接下来，您将为第一个应用程序添加访问策略。此应用程序将允许两个用户访问它。...它确保通过对POST请求的响应来传递所有敏感信息（如令牌）。接下来，您将为第二个应用程序添加访问策略。此应用程序将仅允许第二个用户Tanya Tester对其进行访问。...是客户端应用程序2（访问策略设置为仅允许Tany Tester访问）在Okta方面：您为服务器和两个客户端应用程序创建了匹配的OIDC应用程序。

4.9K3 0

您找到你想要的搜索结果了吗？

是的

没有找到

OAuth 2.0身份验证

的OpenID Connect扩展程序中的一些漏洞，最后我们提供了一些有关如何保护自己的应用程序免受此类攻击的建议。...，您可以看到一个简单的示例，通过Burp代理流量时，只需完成"使用社交媒体登录"选项，然后研究代理历史中的一系列OAuth交互，您可以使用凭据登录wiener:peter(请注意，此实现故意存在漏洞-我们稍后将教您如何利用此漏洞...OAuth服务本身的配置中可能会出现漏洞，在本节中我们将向您展示如何利用这两种上下文中最常见的一些漏洞客户端应用程序中的漏洞客户端应用程序通常会使用信誉良好、经得起战斗的OAuth服务，该服务受到良好的保护...D、有缺陷的范围验证在任何OAuth流中，用户必须根据授权请求中定义的范围批准请求的访问，生成的令牌允许客户端应用程序仅访问用户批准的范围，但在某些情况下，由于OAuth服务的错误验证，攻击者可能会使用额外权限...一些提供OAuth服务的网站允许用户注册帐户，而不必验证他们的所有详细信息，在某些情况下还包括他们的电子邮件地址，攻击者可以通过使用与目标用户相同的详细信息(例如已知的电子邮件地址)向OAuth提供程序注册帐户来利用此漏洞

4.9K1 0

如何在Ubuntu 16.04上安装和保护Grafana

[个人资料页面] 在“ 名称”，“ 电子邮件 ”和“用户名”字段中输入您要使用的姓名，电子邮件地址和用户名，然后单击“信息”部分中的“ 更新”按钮以保存设置。...（可选）步骤5 - 设置GitHub OAuth应用程序对于另一种登录方法，您可以将Grafana配置为通过GitHub进行身份验证，GitHub为授权组织的所有成员提供登录访问权限。...由于Grafana使用OAuth（一种用于授予远程第三方访问本地资源的开放标准）来通过GitHub对用户进行身份验证，因此您需要在GitHub中创建新的OAuth应用程序。...现在，您将被重定向到包含与新OAuth应用程序关联的客户端ID和客户端密钥的页面。记下这两个值，因为您需要将它们添加到Grafana的主配置文件中以完成设置。...如果GitHub帐户是您批准的组织的成员，并且您的Grafana电子邮件地址与您的GitHub电子邮件地址匹配，您将使用现有的Grafana帐户登录。

4.6K4 0

基于OAuth重定向机制的钓鱼攻击链分析与防御策略研究

攻击者并未试图模仿微软或谷歌的登录界面来窃取密码，而是构造了特殊的OAuth链接。...如果去掉该参数，用户在访问恶意链接时可能会看到微软或谷歌的登录/同意页面，这会立即引起警惕或导致攻击中断（因为攻击者无法获得用户的真实凭证来完成登录）。...2.3 信任链的传递与绕过此类攻击之所以能绕过传统防御，核心在于信任链的传递。在电子邮件网关的过滤逻辑中，链接的信誉度往往取决于其直接域名。...首先，在URL信誉方面，攻击链接的宿主是微软、谷歌等顶级可信域名。邮件网关在扫描时，看到的是login.microsoftonline.com，这通常是白名单中的常客。...例如，企业内部的自研系统、第三方的协作工具都需要通过OAuth进行单点登录。如何在保障业务灵活性的同时，精准识别并阻断恶意的重定向请求，是安全团队面临的两难选择。

1471 0

API NEWS | Booking.com爆出API漏洞

OAuth（Open Authorization）是目前的开放身份验证标准，使用户可以允许应用程序读取脸书或Google等账号资料进行身份验证，方便地登录应用程序。...攻击者只要向使用Google身份验证的http://Booking.com用户发送恶意连接，由于受害者电子邮件地址相同，http://Booking.com便会自动关联拥有相同电子邮件的账户允许登录。...谷歌金融APP泄露API敏感数据近期来自Approov的报告声称，对谷歌应用商店上的金融应用程序进行了研究。该报告的关键点是，谷歌应用商店上92%的金融应用程序包含可提取的数据，例如API密钥。...在这些泄露的应用程序中，泄漏了近四分之一的敏感数据，例如用于支付和货币账户转移的身份验证密钥。该研究基于谷歌应用商店中美国、英国、法国和德国的“前200名”金融服务应用程序。...创建RASP实时应用程序自我保护：内置于应用程序中，用来防止实时攻击。阻止自签名证书：自签名证书很容易伪造，但是目前还没有撤销它们的机制，所以应该使用有效证书颁发机构提供的证书。

8463 0

滥用OAuth错误流投递恶意软件的攻击机理与防御研究

本文基于对Microsoft黑客组织最新攻击活动的深入分析，系统阐述了攻击者如何通过注册恶意OAuth应用程序，构造包含无效作用域（Invalid Scope）与静默提示参数（prompt=none）的特制授权请求...这一设计的本意是提升用户体验，允许客户端应用程序根据具体的错误类型进行友好的提示或重试逻辑。例如，如果请求的权限过高，客户端可以捕获invalid_scope错误并引导用户重新发起低权限请求。...首先，在URL信誉方面，攻击链接的宿主是微软、谷歌等顶级可信域名。邮件网关在扫描时，看到的是login.microsoftonline.com，这通常是白名单中的常客。...OAuth协议的复杂性使得许多安全管理员仅关注应用的注册审批，而忽视了对重定向URI的细粒度管控。...例如，企业内部的自研系统、第三方的协作工具都需要通过OAuth进行单点登录。如何在保障业务灵活性的同时，精准识别并阻断恶意的重定向请求，是安全团队面临的两难选择。

1071 0

Textfree - Textfree 的逆向工程

[第 1 部分，Web 客户端和帐户创建 ---- 在这个漏洞利用中，我将展示我如何能够制作与 textfree 的 API 一起使用的 oauth 签名，以及我如何能够以编程方式创建帐户。...后来我发现 oauth_signatures 在登录前没有用令牌散列。消费者秘密和基本字符串是唯一用于在登录前创建 oauth_signatures 的东西。...经过一些测试，我发现 Web 客户端使用者机密仅适用于 Web 客户端交互，因此尝试使用我发现的使用者机密从 Android 应用程序制作 oauth_signatures 将不起作用……总之，我可以创建无文本帐户并签署...应用程序完全解压后，是时候启用可调试性了。这允许我们运行带有调试器的应用程序。我们可以稍后设置断点并检查寄存器/本地变量。 image.png 现在我们只需要打包应用程序备份并签名。...我使用了超级 apk 签名者。将应用程序安装到 VM 并确保它仍然有效后，我在 android studio 中打开了解压后的应用程序并设置了断点。

2.7K89 1

OAuth钓鱼攻击中链接验证失效机制与动态防御策略研究

在标准的授权码模式（Authorization Code Flow）中，用户被重定向到授权服务器的登录页面，输入凭证后，授权服务器询问用户是否同意客户端访问特定范围的资源（Scope）。...因为当用户悬停或点击后，看到的确实是合法的微软或谷歌链接。这种“真实性”反而增强了骗局的可信度。用户会认为：“既然是谷歌的页面，那肯定没问题。”...3.3 用户认知负荷与决策疲劳在现代工作环境中，员工每天需要处理大量的登录和授权请求。频繁的SSO弹窗导致了严重的“决策疲劳”（Decision Fatigue）。...当用户面对一个又一个熟悉的登录界面和权限请求对话框时，往往会形成肌肉记忆，不假思索地点击“允许”或“登录”。...系统应建立企业内部的“应用信誉库”，记录所有经过审批的合法应用及其所需的合理权限范围。当检测到新的授权请求时，系统进行以下维度的评分：应用信誉：该client_id是否在企业白名单中？是否为首次出现？

1411 0

渗透测试TIPS之Web（一）

，发现隐藏内容； 12、确定入口点、技术点、确定该应用程序是做什么的、如何做到的、绘制攻击面、有哪些危险功能、框架版本其相关版本的cve漏洞信息等； 13、阅读web应用程序的客户端代码，包括它使用的是什么...，则应仅使用https验证校验或使用公钥进行检查； 8、尝试验证码绕过； 9、尝试框架注入; 10、尝试缓存中毒； 11、寻找url参数中的敏感数据； 12、寻找各种敏感信息； 13、根据数字id进行如订单越权等...； 11、测试电子邮件验证邮件是否通过http传输； 12、cookie是否添加httponly、secure属性； 13、测试oauth身份验证，确保在后端是由google或第三方生成的id令牌： https...：https://t.co/z84ajd7bmO 15、“记住我”的功能是否会过期，查看cookie中是否有能够利用的空间； 16、测试用户唯一性； 17、测试如账号密码是否直接在url中传输； 18、...-SHA https://$ip 5、反混淆JS JStillery, JSNice OAuth2 1、测试服务器是否允许在没有任何密码的情况下对用户身份进行验证； 2、认证流程： a.用户点击登录

2.6K2 0

OAuth 详解什么是 OAuth?

在 OAuth 出现之前，网站会提示您直接在表单中输入用户名和密码，然后他们会以您的身份登录到您的数据（例如您的 Gmail 帐户）。这通常称为密码反模式....公司需要以允许许多设备访问它们的方式保护它们的 REST API。在过去，你会输入你的用户名/密码目录，应用程序会直接以你的身份登录。这就产生了委托授权问题。...“我怎样才能允许一个应用程序访问我的数据而不必给它我的密码？” 如果您曾经看过下面的对话框之一，那就是我们正在谈论的内容。这是一个询问是否可以代表您访问数据的应用程序。 ? 这是 OAuth。...您通常能够登录到仪表板以查看您已授予访问权限的应用程序并撤销同意。 OAuth 参与者 OAuth 流程中的参与者如下：资源所有者：拥有资源服务器中的数据。...您可以输入您的电子邮件地址，然后它会动态发现您的 OIDC 提供商，动态下载元数据，动态知道它将使用什么证书，并允许 BYOI（自带身份）。它支持企业的高保证级别和关键 SAML 用例。 ?

7.3K2 0

开发中需要知道的相关知识点:什么是 OAuth?

在 OAuth 出现之前，网站会提示您直接在表单中输入用户名和密码，然后他们会以您的身份登录到您的数据（例如您的 Gmail 帐户）。这通常称为密码反模式....公司需要以允许许多设备访问它们的方式保护它们的 REST API。在过去，你会输入你的用户名/密码目录，应用程序会直接以你的身份登录。这就产生了委托授权问题。...“我怎样才能允许一个应用程序访问我的数据而不必给它我的密码？” 如果您曾经看过下面的对话框之一，那就是我们正在谈论的内容。这是一个询问是否可以代表您访问数据的应用程序。这是 OAuth。...您通常能够登录到仪表板以查看您已授予访问权限的应用程序并撤销同意。 OAuth 参与者 OAuth 流程中的参与者如下：资源所有者：拥有资源服务器中的数据。...您可以输入您的电子邮件地址，然后它会动态发现您的 OIDC 提供商，动态下载元数据，动态知道它将使用什么证书，并允许 BYOI（自带身份）。它支持企业的高保证级别和关键 SAML 用例。

2.7K4 0

OAuth 2.0 for Client-side Web Applications

OAuth 2.0的客户端Web应用程序本文介绍了如何从一个JavaScript的Web应用程序实现的OAuth 2.0授权访问谷歌的API。...看到 JS客户端库本文档中的选项卡为例子，说明如何授权使用谷歌API客户端JavaScript库的用户。先决条件启用专案的API 调用谷歌API的应用程序需要启用API控制台这些API。...在选择接入范围部分提供了有关如何确定的作用域应用程序应请求允许访问信息。...该访问请求只是为了演示如何启动在JavaScript应用程序中的OAuth 2.0流。这个应用程序不作任何API请求。...该页面显示两种：一个按钮，可以让用户登录到应用程序。如果用户以前未授权的应用程序，然后应用程序启动的OAuth 2.0流。两个按钮，允许用户或者登出应用程式或撤销先前授予应用程序的访问。

3.3K1 0

【壹刊】Azure AD B2C（一）初识

spa以及其他应用程序如何注册，登录和管理其个人资料。...例如，FaceBook，微博，谷歌账号，微信等等。Azure AD B2C 充当 Web 应用程序、移动应用和 API 的中心身份验证机构，使你能够为所有这些应用构建单一登录 (SSO) 解决方案。...具有使用者帐户的用户可以通过多个标识（例如用户名、电子邮件、员工 ID、政府 ID 等）登录。单个账户可以有多个本地和社交标识。...2.3 外部标识提供者-第三方授权中心　　可以配置 Azure AD B2C，以允许用户使用外部社交或企业标识提供者 (IdP) 提供的凭据登录到你的应用程序。...上图显示了 Azure AD B2C 如何使用同一身份验证流中的各种协议进行通信：信赖方应用程序使用 OpenID Connect 向 Azure AD B2C 发起授权请求。

3.3K4 0

PwnAuth——一个可以揭露OAuth滥用的利器

API——资源客户端希望访问的目标应用程序。在本例中，Microsoft OneDrive API 终端是资源。资源拥有者允许访问其部分帐户的人员。在本例中，就是你。...授权服务器授权服务器提供资源所有者用来同意或拒绝的接口。服务器可以与API资源相同，或者是另一个不同的组件。在本例中，Microsoft登录门户是“授权服务器”。...三、滥用漫延 OAuth应用程序提供了一个理想的载体，攻击者可以通过它攻击目标并获取电子邮件、联系人和文件等机密数据。...· 在企业中禁用第三方应用具有Cloud App Security的组织可以利用“应用程序权限”功能查询和阻止第三方应用程序。。 · 为应用程序实施白名单或黑名单。...我创建了一组脚本来帮助管理员在云环境中搜索恶意OAuth应用程序。目前有一个脚本可以调查Office 365占用者并计划添加其他云环境。

2.5K2 0

从0开始构建一个Oauth2Server服务用户登录及授权

在谷歌的API中，应用程序可以添加prompt=login授权请求，这会导致授权服务器强制用户重新登录，然后才会显示授权提示。...可以按照您希望的任何方式对用户进行身份验证，因为这在 OAuth 2.0 规范中没有指定。大多数服务使用传统的用户名/密码登录来验证其用户，但这绝不是解决问题的唯一方法。...但是，如果您登录到将从您的 Gmail 帐户发送电子邮件的第三方邮件列表应用程序，那么作为用户的您了解该第三方应用程序将被授予访问权限的内容以及它将是什么变得至关重要可以使用您的帐户。...如果省略范围意味着应用程序唯一获得的是用户标识，您可以包含一条消息，表示“此应用程序需要您登录”或“此应用程序需要了解您的基本个人资料信息”。有关如何在服务中有效使用范围的更多信息，请参阅范围。...如果用户单击“拒绝”，服务器将重定向回应用程序，并在 URL 中包含错误代码。下一节将详细介绍应如何处理此响应。

9973 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

通过可执行代码示例，验证了OAuth授权监控与自动撤销机制的有效性。研究结论指出，仅依赖用户教育无法应对当前高度专业化、协议级的钓鱼威胁，必须从身份治理与协议使用规范层面重构企业安全边界。...关键词：OAuth钓鱼；中间人代理；UTA0355；定向攻击；Microsoft Entra ID；Google Workspace；条件访问策略1 引言随着单点登录（SSO）和第三方授权在企业数字化生态中的普及...-DefaultUserRolePermissions @{"permissionGrantPoliciesAssigned" = @()}更精细的做法是创建“应用审批列表”，仅允许特定ISV（如Zoom...5 结语本文系统分析了俄罗斯关联团伙UTA0355利用欧洲安全会议名义实施的OAuth定向钓鱼攻击，揭示其如何通过高仿真社会工程与协议机制滥用，实现对企业云账户的隐蔽接管。...通过实施OAuth应用白名单、自动化授权审计、用户行为缓冲与威胁情报联动，企业可显著降低此类高级钓鱼威胁的风险。

3641 0

关于Web验证的几种方法

它通常用在启用双因素身份验证的应用中，在用户凭据确认后使用。要使用 OTP，必须存在一个受信任的系统。这个受信任的系统可以是经过验证的电子邮件或手机号码。现代 OTP 是无状态的。...这种方法通常与基于会话的身份验证结合使用。流程你访问的网站需要登录。你转到登录页面，然后看到一个名为“使用谷歌登录”的按钮。单击该按钮，它将带你到谷歌登录页面。...网站如何访问你的 Google 云端硬盘？这里就会用到 OAuth。你可以授予访问另一个网站上资源的权限。在这里，你授予的就是写入谷歌云端硬盘的访问权限。优点提高安全性。...如果 OpenID 系统关闭，则用户将无法登录。人们通常倾向于忽略 OAuth 应用程序请求的权限。在你配置的 OpenID 提供方上没有帐户的用户将无法访问你的应用程序。...一些基本的经验法则：对于利用服务端模板的 Web 应用程序，通过用户名和密码进行基于会话的身份验证通常是最合适的。你也可以添加 OAuth 和 OpenID。

5.9K3 0

SCIM漏洞挖掘实战指南

仅举几个例子：常见OAuth漏洞通过解析差异绕过SAML SSO认证在OAuth登录流程中使用"脏舞"进行账户劫持等等 - 确实存在大量宝贵资源。...后端如何将SCIM对象转换/链接到内部用户和组对象操作执行逻辑 - 身份相关对象中的更改通常会触发应用程序流程注意影响作为直接的IdP到SP通信，大多数由此产生的问题需要在IdP或SP中具有一定级别的访问权限...身份验证绕过几个月前，我们发布了关于Casdoor IdP实例中未经身份验证的SCIM操作的安全公告。这是一个支持各种身份验证标准的开源身份解决方案，如OAuth、SAML、OIDC等。...在配置的应用程序上测试或编辑IdP SCIM集成时，如果连接器URL与先前设置的URL不同，应需要输入新的SCIM令牌。* SP端问题SCIM令牌创建和读取应仅允许高特权用户。...内部属性操纵在将身份同步外包给SCIM时，选择将SCIM对象中的哪些内容复制到新的内部对象变得至关重要，因为错误可能源于"过度"的属性允许。

3032 0

基于k8s Ingress Nginx+OAuth2+Gitlab无代码侵入实现自定义服务的外部验证

OAuth 2.0致力于简化客户端开发人员的工作，同时为Web应用程序，桌面应用程序，移动电话和客厅设备提供特定的授权流程。...这种方式没有对应用程序的代码侵入，仅仅在应用入口添加了配置。除了上述我描述的这个应用场景，还有很多可以利用oauth轻松实现认证的场景。...4.6 流程分析在请求登录外部认证的过程中查看oauth2-proxy的日志如下 172.16.1.110:49976 - - [2021/01/23 17:28:23] nginx-test.ssgeek.com...客户端被重定向到oauth2登录页面后，自动进入Gitlab的登录页面，用户登录Gitlab后，Gitlab再将客户端重定向到在Gitlab中配置的应用回调地址。...5、总结本文以基于k8s部署的nginx服务为例，记录如何通过ingress和oauth2 proxy对接gitlab实现对应用没有代码侵入的外部认证。

4.4K4 0

点击加载更多

假冒App引发的新网络钓鱼威胁

一步一步教会你如何使用Java构建单点登录

OAuth 2.0身份验证

如何在Ubuntu 16.04上安装和保护Grafana

基于OAuth重定向机制的钓鱼攻击链分析与防御策略研究

API NEWS | Booking.com爆出API漏洞

滥用OAuth错误流投递恶意软件的攻击机理与防御研究

Textfree - Textfree 的逆向工程

OAuth钓鱼攻击中链接验证失效机制与动态防御策略研究

渗透测试TIPS之Web（一）

OAuth 详解什么是 OAuth?

开发中需要知道的相关知识点:什么是 OAuth?

OAuth 2.0 for Client-side Web Applications

【壹刊】Azure AD B2C（一）初识

PwnAuth——一个可以揭露OAuth滥用的利器

从0开始构建一个Oauth2Server服务用户登录及授权

基于OAuth滥用的定向钓鱼攻击与防御机制研究

关于Web验证的几种方法

SCIM漏洞挖掘实战指南

基于k8s Ingress Nginx+OAuth2+Gitlab无代码侵入实现自定义服务的外部验证

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐