首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

DocuSign网站用户资料泄露 火绒详细分析报告

一、综述 近期,火绒安全实验室发出警报,著名美国数字文档签署平台 DocuSign用户正在遭受病毒邮件攻击,该平台在全球拥有2亿用户,其中包括很多中国企业用户。...请DocuSign用户提高警惕,在收到相关邮件时仔细查验真伪,不要轻易打开邮件正文中word文档查看链接。 ?...火绒安全团队根据截获病毒邮件分析和溯源,发现知名数字文档签署平台DocuSign遭到黑客入侵,导致用户资料被泄露。...近期,火绒工作人员收到了一封来自"docusign"邮件,经火绒工程师确认,这是一封伪装DocuSign钓鱼邮件。...如果按照钓鱼文档说明,关闭安全警告启用宏,就会触发文档中恶意脚本,脚本执行过程中会进行多次解密,解密数据来自于宏脚本窗口中控件对象。控件对象数据如下: ? 关键解密过程如下: ?

1.9K30
您找到你想要的搜索结果了吗?
是的
没有找到

退出登录时如何让JWT令牌失效

额,社会本就复杂别再欺骗自己了好么,被你在客户端删掉JWT还是可以通过服务器端认证。 使用JWT要非常明确一点:JWT失效唯一途径就是等待时间过期。...分为两步: 网关层全局过滤器中需要判断黑名单是否存在当前JWT 注销接口中将JWTjti字段作为key存放到redis中,且设置了JWT过期时间 1、网关层解析JWTjti、过期时间放入请求头中...公共模块 图片 总结 思想很简单,JWT既然是无状态,只能借助Redis记录它状态,这样才能达到使其失效目的。...测试 业务基本完成了,下面走一个流程测试一下,如下: 1、登录,申请令牌 图片 2、拿着令牌访问接口 该令牌并没有注销,因此可以正常访问,如下: 图片 3、调用接口注销登录 请求如下: 图片 4、拿着注销令牌访问接口...由于令牌已经注销了,因此肯定访问不通接口,返回如下: 图片 源码已经上传GitHub,关注公众号:码猿技术专栏,回复关键词:9529 获取!

1.3K50

分布式限流要注意问题

GuavaRateLimiter采用了一种“匀速”策略生成令牌,也就是说,这10个令牌平均分到1秒钟时间窗口中生成,每0.1秒产生一个令牌。...而在下一秒开始时候由于又有10个新令牌发放,我可以在下一秒刚到极短时间里再发起10个访问。...除此之外,也可以利用前面提到”滑动窗口“算法,尽量使流量平滑输出,不过即便是滑动窗口也并不能保证不会出现上面提到的人造流量峰值攻击,所以,使用匀速令牌桶才是理想方案 限流组件失效 常在河边走,哪有不湿鞋...我们可以参考SpringCloud和其他限流开源方案做法,当限流组件失效时候,默认不启用限流服务。...当然,压测和容灾演练在平时空闲时候也会开展,对于我们这更像是一个“常态化”过程,就比如集团经常冷不丁切断一个机房设备,倒逼各个事业部将各自应用以异地多活方式部署。

8410

你真的深知JWT(JSON Web Token)了吗?

颁发访问令牌是授权服务关键所在,OAuth2.0规并未约束访问令牌内容生成规则,只要符合唯一性、不连续性、不可猜性。 与其是一个随机字符串,不如结构化令牌更有可读性,用得最多就是JWT。...授权服务发个令牌,受保护资源服务令牌,然后开始解析令牌所含信息,无需再去查询DB或RPC调用。即实现了令牌内检。 为什么令牌要编码且签名?...该过程不排除主动销毁令牌可能,比如令牌被泄露,授权服务可让令牌失效访问令牌失效后可使用刷新令牌请求新令牌,提高用户使用三方软件体验。...让三方软件比如xx,主动发起令牌失效请求,然后授权服务收到请求后让令牌立即失效。 何时需要该机制?...比如用户和三方软件间存在一种订购关系:我购买了xx软件,那么到期或退订时且我授权token还未到期情况下,就需这样一种令牌撤回协议,支持xx主动发起令牌失效请求。

1K10

微信企业号(公众号)开发流程汇总

但如果想要点击按钮直接跳转到应用(此时消息列表可以通过首页,点击消息框跳转),则需要先配置工作台应用主页(该主页配置连接为子应用项目资源访问路径,例如www.qq.com);同时自定义菜单还是该怎么配怎么配...2)用户点击子应用访问配置访问链接所指向地址                         3)第二步,当前地址指向一个授权页,该授权页会根据访问链接上一些参数(例如appid,即企业...CorpID)返回一个授权令牌code,并将其拼在重定向链接(即访问链接上redirect_uri参数值)上;然后跳转到重定向链接所指向地址(该地址即为子应用项目资源目录所在地址                        ...a)上述过程中,授权令牌code是有时效限制,它失效为5分钟,且在这5分钟之内只能使用一次,也就是说,如果code在请求回来后,如果你在5分钟内没有使用它(或是5分钟内使用过一次之后),当前这个code...所以本质上通过扫一扫访问一个应用和点击应用图标访问应用没什么太大区别。 ? ?

2.4K10

OAuth2.0实战(三)-使用JWT

授权服务核心就是颁发访问令牌,而OAuth 2.0规范并没有约束访问令牌内容生成规则,只要符合唯一性、不连续性、不可猜性。...授权服务发个令牌,受保护资源服务令牌,然后开始解析令牌所含信息,无需再去查询DB或RPC调用。即实现了令牌内检。 HMAC 流程 ? RSA 流程 ? 5 为什么令牌要编码且签名?...该过程不排除主动销毁令牌可能,比如令牌被泄露,授权服务可让令牌失效访问令牌失效后可使用刷新令牌请求新令牌,提高用户使用三方软件体验。...让三方软件比如xx,主动发起令牌失效请求,然后授权服务收到请求后让令牌立即失效。 何时需要该机制?...比如用户和三方软件间存在一种订购关系:我购买了xx软件,那么到期或退订时且我授权token还未到期情况下,就需这样一种令牌撤回协议,支持xx主动发起令牌失效请求。

1.2K20

微服务架构 | 如何让接口权限继续继承下去?

导读:在访问系统某个或者某类接口后进行一系列权限校验,但在后续接口中我们想让访问权限一直授权下去改如何处理呢?总结本篇文章希望对从事相关工作同学能够有所帮助或者启发。...权限继承使您能够一次进行权限分配,并且拥有该权限应用于继承权限所有网站、列表、库、文件夹和项目。此行为可降低网站集管理员和网站所有者在安全管理上所花复杂性和时间。...通常, AuthenticationManager (或更常见是,其AuthenticationProvider之一)将在成功身份验证后返回一个不可变身份验证令牌,在这种情况下,该令牌可以安全地返回...;当然这里用UserID也行,但是要追加失效属性(过期时间)。...模块标识:颁发访问授权码时候最好明确是那个模块业务,如何授权接口中包含模块标识二级路径这里就可以忽略了。 业务标识:这里主要是针对特定场景下业务标识。

65240

分享一篇详尽关于如何在 JavaScript 中实现刷新令牌指南

通过使刷新令牌无效,服务器可以阻止用户获取新访问令牌,从而有效地将他们从系统中注销。 总之,刷新令牌是一个强大工具,可在您应用程序中维持无缝且安全身份验证体验。...以下是应用程序如何在 Node.js 应用程序中使用 JWT 刷新令牌示例: 用户登录到应用程序并将其凭据发送到身份验证服务器。 身份验证服务器验证凭据,生成 JWT 访问令牌和 JWT 刷新令牌。...可以在服务器端通过将令牌添加到黑名单或在数据库中将其标记为已撤销来使刷新令牌失效。...代码示例:客户端使刷新令牌失效 在客户端,可以通过从客户端存储中删除令牌并确保客户端不会再次使用该令牌来使刷新令牌失效。...以下是如何使用 JavaScript 使刷新令牌失效示例: 在此示例中,我们使用 localStorage 对象来存储和检索刷新令牌

22630

JWT 实现

access token访问令牌为一个JWT,设置一个较短过期时间,比如1小时。访问令牌每次调用后端服务都需要携带,往返网络频率非常高,暴露可能性就越大,设置较短过期时间也可以降低安全风险。...因为其仅在访问令牌失效或已经失效时才会被传递给服务端,较长过期时间并不会有太大安全风险。颁发token时候,仅将刷新令牌保存在redis并设置过期时间。...客户端要长时间维护登录态,就需要当访问令牌失效后,自动使用刷新令牌获取新访问令牌。或者在访问令牌失效之前,提前刷新令牌。 现在我们想要踢人,只需要将用户相关刷新令牌从redis里删除。...当前访问令牌失效后,自然也没有办法再刷新令牌了。从而达到强制用户登出目的。 这么设计有个缺陷就是强制用户登出不是及时。需要有一个等待访问令牌过期时间。...每次调用服务api时仍然是原汁原味jwt无状态认证,无需访问任何中心存储。仅在刷新访问令牌时候需要访问中心存储。也算是一种折中方案。

80310

逻辑漏洞概述

无效登录失败功能处理: 图片验证码绕过:验证码不生效、不更新、不失效,验证码可预测、删除、获取,验证码可识别,寻找其他登录页面。...理解:每一秒都会产生十十次方可能,爆破难度极大。 令牌可获取: 用户令牌采取不安全传输、存储,易被他人获取: 用户令牌在URL中传输:明文传输、发送给他人。...令牌失效(会造成固定会话攻击): 用户令牌采取不安全传输、存储,易被他人获取: 令牌有效期过长(在一段时间内使令牌失效)、令牌尝试次数过多(提交次数一定时要使令牌无效)、无效令牌重置。...权限控制方法: 防火墙ACL策略:主体-规则-客体 Linux文件权限:主体-读写、执行-客体 web应用权限:基于URL、基于方法、基于数据 RBAC:web应用系统常采用此模型。...目前主要存在未授权访问漏洞有: Web应用权限 正常情况下,管理后台页面应该只有管理员才能够访问,而且搜索引擎爬虫也不应该搜索到这些页面,但这些系统未对用户访问权限进行控制,导致任意用户只要构造出了正确

1.2K20

Java高频面试题,谈谈你对OAuth理解,这道题你会了吗?

ENTER TITLE 举个例子,有一位访客需要在房主不在家时进到房间里面,房主又不能把门锁密码告诉访客,而是给预先发给访客一张临时房卡,这张房卡刷一次就失效了。...OAuth 工作方式和这个场景非常类似,一个应用程序向另一个应用发送授权令牌来授予用户访问权限,而不是发送用户密码。...第2步,客户端会收到资源服务器授权许可, 第3步:客户端拿到许可之后,再向授权服务器发送一次验证,给客户端颁发一个Access Token访问令牌。 第4步:客户端拿到令牌之后,交给资源服务器。...第5步:资源服务器会将获取到令牌传给认证服务器验证令牌有效性。 第6步:资源服务器验证令牌通过之后,就会返回一个受保护资源。...好了,以上就是我对OAuth理解。 我是被编程耽误文艺Tom,如果我分享对你有帮助,请动动手指分享给更多的人。

30320

通过询问-响应身份认证提高桌面登录安全

它也同样是最容易部署方法之一。下面是具体方法。 询问-响应认证 从技术上来讲,当你输入密码时候,你就正在响应用户名询问。...这可以防止其他人仅仅使用了找到硬件令牌,或是只使用了账户名密码而没有正确加密密钥。 这意味着除了你账户名密码之外,你必须事先在你操作系统中注册了一个或多个加密硬件令牌。...你必须保证你物理硬件令牌能够匹配你用户名。 一些询问-响应方法,比如一次性密码(OTP),在硬件令牌上获取加密代码密钥,然后将这个密钥通过网络传输到远程身份认证服务器。...准备 硬件令牌密钥 首先,你需要一个安全硬件令牌密钥。...设备已经插进了 USB 口,然后允许 VM 控制 USB 访问 Yubikey。

77120

使用 Feign 实现微服务之间认证和授权

认证成功后,系统会为用户颁发一个访问令牌(Access Token),用户可以使用该访问令牌访问系统受保护资源。...授权(Authorization)是指对用户访问资源权限控制,通常使用访问令牌来进行授权。系统根据访问令牌权限信息来判断用户是否有权访问某个资源,从而实现对资源保护。...认证服务用于认证用户身份,并颁发访问令牌;用户服务提供对用户资源访问,并根据访问令牌来授权。...在认证服务登录接口中,我们使用用户名和密码来生成访问令牌;在用户服务用户获取接口中,我们使用Feign@FeignClient注解来指定服务名称,并使用@GetMapping注解来定义HTTP...我们将访问令牌添加到头部信息中,并使用Bearer格式进行传递。接下来,我们需要在用户服务中添加Feign配置,以便将认证拦截器应用到所有的请求中。

2.9K42

Apache NiFi中JWT身份验证

为自定义外部应用程序访问使用了JWT身份验证NIFI服务提供参考和开发依据。 背景知识 JSON Web Tokens为众多Web应用程序和框架提供了灵活身份验证和授权标准。...用于生成和验证JSON Web Tokens库可用于所有主流编程语言,这使得它成为许多平台上(身份验证)流行方法。由于它灵活性和几个库中实现问题,一些人批评了JWT应用程序安全性。...记录失效令牌标识符,实现令牌撤销 Web浏览器使用限制JavaScript访问HTTP会话cookie来存储Token 更新前后对比 重构NiFi JWT涉及到对nifi-web-security模块大量代码更改...Token失效对比 随着NIFI从对称密钥向共享非对称密钥对转变,有必要引入一种新实现令牌撤销方法。...同时NiFi使用可配置秘钥更新周期来查找和删除过期失效记录。 令牌失效有两种,一种是令牌过期,一种是用户发起注销引起令牌撤销。

3.9K20

OAuth2 vs JWT,到底怎么选?

首先要明白一点就是,这两个根本没有可比性,是两个完全不同东西。 JWT是一种认证协议 JWT提供了一种用于发布接入令牌(Access Token),并对发布签名接入令牌进行验证方法。...令牌(Token)本身包含了一系列声明,应用程序可以根据这些声明限制用户对资源访问。 OAuth2是一种授权框架 另一方面,OAuth2是一种授权框架,提供了一套详细授权机制(指导)。...基本思路就是用户提供用户名和密码给认证服务器,服务器验证用户提交信息信息合法性;如果验证成功,会产生并返回一个Token(令牌),用户可以使用这个token访问服务器上受保护资源。...如果尝试使用Bas64对解码后token进行修改,签名信息就会失效。...也就是常见,去认证服务商(比如facebook)那里注册你应用,然后设置需要访问用户信息,比如电子邮箱、姓名等。 当用户访问站点注册页面时,会看到连接到第三方提供商入口。

75920

Restful安全认证及权限解决方案

7.用户注销时,服务端需要把还在时效内Token保存到Redis中,并设置正确失效时长。  ? 四、在实际环境中如何使用JWT  1.Web应用程序  在令牌过期前刷新令牌。...如设置令牌过期时间为一个星期,每次用户打开Web应用程序,服务端每隔一小时生成一个新令牌。如果用户一个多星期没有打开应用,他们将不得不再次登录。 ...2.移动应用程序  大多数移动应用程序用户只进行一次登录,定期刷新令牌可以使用户长期不用登录。  但如果用户手机丢失,则可提供一种方式由用户决定撤销哪个设备令牌。...当然,这就需要服务端记录设备名称,例如“maryoiPad”。然后用户可以去申请并撤销获得“maryoiPad”。当用户修改密码时需要服务端把原Token保存到Redis上,使其失效。 ...六、更换Token  为了解决高并发访问时更换Token, 有可能造成用旧Token访问失败。

2.8K50

面向企业级SaaS电子签约,如何保障安全性和法律性?

美国SaaS电子签约服务企业DocuSign可以说是这个领域佼佼者,在全球各地有业务分部,并且迅速跨入全球知名独角兽行列,并且有很多像微软、SAP这样IT巨头为其注资。...签完之后合同都会在合同上打个总数字签名,签名里都会包含企业保密信息,如果文件内容被修改,原来数字签名就会失效,同时也可以保证合同不会被篡改,具有安全性。...例如,美国SaaS电子签约领域著名独角兽DocuSignDocuSign是采用用户加密认证方法,绑定特定IP地址登录账号,保证用户数据安全。...并且所有保存在DocuSign数字文件都使用了防篡改技术。...U盾类似,需要插在电脑上验证,再去签约,但在实际移动化应用现场中,这种模式并没有太多效率体现,并且U盾管理和保管都是麻烦事情。

1.8K50

模拟(Impersonation)与委托(Delegation)

时候,操作系统会创建一个访问令牌(Access Token)。...当我们开启某个进程时候,该访问令牌会自动附加到该进程上,作为其安全上下文重要组成部分。我们也可以将访问令牌作为进程或者线程安全描述符封装。Windows下访问令牌主要具有如下两种形式。...而线程可以运行在另一个非主令牌访问令牌下执行,而这个令牌被称为模拟令牌。而指定线程模拟令牌过程被称为模拟。...对于模拟级别,对于托管代码应用编程口中也具有一个匹配枚举TokenImpersonationLevel。...然后赋予帐号Foo对该文件读取权限,但拒绝帐号Bar读取该文件。 然后我们创建一个简单控制台应用作为演示程序。

1.6K70

产品经理如何实现用户登录网页使用APP扫码登录?

我们在浏览网址时候看到如bilibili类似的登录页面,提供扫码登录、短信验证码登录、三方应用登录等。...二维码失效或关闭重新打开登录页需要再次重新请求服务端生成二维码,唯一标识也需要再次更新。 产品方案交互涉及到web页面展示,包括二维码展示页面、二维码失效展示、二维码扫码成功展示。...4、服务端生成登录token令牌(服务端) 服务端收到App返回唯一标识key和用户信息等进行验证,并调用内部登录方式生成token令牌。 基于token令牌认证机制在移动端登录也常用。...将用户信息、登录成功状态及token返回给到移动端或者web端,并存入本地,后续移动端或web端通过token令牌访问服务端接口,验证token令牌及设备信息等。...token令牌有过期时间,在过期时间前需要重新进行请求替换新token令牌。用户在清除浏览器、应用缓存会清除本地缓存信息,token也会失效

2K30
领券