Google Workspace 中的设计缺陷可能让攻击者获得未经授权的访问

最新推荐文章于 2024-09-14 20:37:51 发布
最新推荐文章于 2024-09-14 20:37:51 发布
阅读量575 收藏 11
点赞数 14
分类专栏: HackNews转载 文章标签: 网络 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bunneykaka/article/details/134853633
版权

        网络安全研究人员详细介绍了谷歌工作区的全域授权(DWD)功能中的一个“严重设计缺陷”,威胁行为者可能会利用该缺陷来促进权限升级,并在没有超级管理员权限的情况下获得对工作区API的未经授权访问。这种利用可能导致Gmail中的电子邮件被盗、谷歌硬盘中的数据泄露,或在谷歌工作区API中对目标域中的所有身份采取其他未经授权的行动。该设计弱点至今仍很活跃,其代号为DeleFriend,因为它能够在谷歌云平台(GCP)和谷歌工作区中操纵现有委派,而无需拥有超级管理权限。

        该漏洞的根源在于域委派配置由服务帐户资源标识符(OAuth ID)决定,而不是由与服务帐户标识对象关联的特定私钥决定。因此,对目标GCP项目访问权限较低的潜在威胁参与者可以“创建由不同OAuth作用域组成的大量JSON web令牌(JWT),旨在确定私钥对和author的成功组合。

    

期待你的关注,定不负所望

cke_32160.png

暂停营业1
关注
专栏目录
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 882
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统的敏感信息, system权限也可以提取内存的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
前端2020面试题195道
weijieyuhyt的博客
01-13 1万+
HTML5面试题 一、 Doctype的作用? 严格模式和混杂模式的区分,以及如何触发这2种模式? <!DOCTYPE> 声明位于文档的最前面,处于 标签之前。告知浏览器的解析器,用什么文档类型 规范来解析这个文档。 DOCTYPE不存在或格式不正确会导致文档以混杂模式呈现。 严格模式就是浏览器根据web标准去解析页面,是一种要求严格的DTD,不允许使用任何表现层的语法, 混杂模式...
Google Sheets】Google workspace 的excel常用公式
dwe147的博客
01-16 1577
Google workspaceGoogle Sheets excel 常用公式
2023年网络安全面试题(渗透测试):详细答案解析与最佳实践分享
weixin_43263566的博客
07-18 1万+
命令执行漏洞指攻击者可以随意执行系统命令的漏洞。当攻击成功后,攻击者可以继承Web服务程序的权限,执行任意代码、读写文件,甚至控制整个网站或服务器,甚至进一步进行内网渗透。内网攻击莫忽视:在流量分析过程,不要忽视内网的攻击行为。内网攻击可能是来自恶意软件、僵尸网络或内部威胁等,及时发现和响应内网攻击至关重要。企图告警需排查:当发出告警信号时,需要仔细排查可能的企图行为。不仅要关注被攻击的目标,还要查看攻击者的来源、攻击方法和可能的目的,以便更好地理解攻击行为。
【测试开发】的Devops持续集成部署体系之Jenkins持续集成和持续部署基础应用
分享测试知识
11-15 1105
Jenkins 持续集成安装及使用简介一、前言持续集成(Continuous integration,简称CI)指的是,频繁地(一天多次)将代码集成到主干。持续集成的目的,就是让产品可以快速迭代,同时还能保持高质量。它的核心措施是,代码集成到主干之前,必须通过自动化测试。只要有一个测试用例失败,就不能集成。二、初始化 Jenkins 插件和管理员用户下载好 jenkins.war 包之后,在 cmd 下切换到下载目录,然后执行如下命令:启动了自带的 Jetty 服务器生成随机口令。
最全面、最详细web前端面试题及答案总结
热门推荐
HanXiaoXi_yeal的博客
02-01 3万+
2021最全面、最详细web前端面试题及答案总结 总结不易,希望可以帮助到即将面试或还在学习web前端小伙伴,祝面试顺利,拿高薪! 本章是HTML考点的⾮重难点,因此我们采⽤简略回答的⽅式进⾏撰写,所以不会有太多详细的解释。我们约定,每个问题后我们标记『✨ 』的为⾼频⾯试题 doctype的作⽤是什么?✨ DOCTYPE是html5标准⽹⻚声明,且必须声明在HTML⽂档的第⼀⾏。来告知浏览器的解析器⽤什么⽂档标准解析这个 ⽂档,不同的渲染模式会影响到浏览器对于 CSS 代码甚⾄ JavaScript
EBU6610 Information Systems Management信息系统管理
weixin_54225074的博客
01-02 1003
EBU6610 Information Systems Management信息系统管理,学习笔记
免疫信息学
weixin_30824599的博客
12-03 2851
http://blog.sciencenet.cn/blog-204973-845856.html 第一节 免疫信息学源流 上个世纪叶充满科学传奇。那不仅是个DNA双螺旋结构阐明、分子生物学产生与兴起的时代,也是系统论、控制论、信息论纷纷形成问世并引起全球广泛关注的时代,还是电子计算机走进人类社会并产生重要影响的时代。香农发表了《通信的数学理论》,奠定了他信息论之父的地位;维纳出版了专...
0MQ
Max_Cong的博客
05-30 1万+
ØMQ - The Guide Table of Contents By Pieter Hintjens, CEO of iMatix Please use the issue tracker for all comments and errata(勘误表). This version covers the latest stable(稳定的) relea
Meeting-Workspace:Meeting Workspace可让您将所有满足会议需求的需求集到一个应用程序
04-28
Meeting-Workspace 是一款专为优化会议管理而设计的应用程序,它允许用户在一个集的平台上处理所有与会议相关的需求。这款应用充分利用了JavaScript技术栈,尤其是Node.js和Yarn这两个工具,来提供高效、便捷的...
githubUserManager:维护来自Google Workspace成员资格的github用户
03-26
根据Google Workspace个人资料的自定义属性管理GitHub组织的人员,从而实现无缝的JML(Joiner mover离开者)流程,如果允许,则在Google Workspace删除/禁用帐户会将用户从GitHub删除; 类似地,添加用户的...
解决MyEclipse的Building workspace问题的三个方法
09-03
自动构建功能会在每次保存文件时自动编译项目,虽然方便,但在大型项目可能会成为性能瓶颈。要禁用此功能,你可以按照以下步骤操作: 1. 打开MyEclipse,点击菜单栏上的“Project”(项目)。 2. 在下拉菜单取消...
附加组件示例:Google Workspace附加示例
02-04
Google Workspace附加组件示例 该存储库包含示例。 请参阅子目录,以获取有关各个样本的更多详细说明。 问题与讨论 如果您对Google Workspace加载项有疑问或遇到问题,请参阅: 堆栈溢出:使用标记问题 贡献变化 ...
python-samples:Google适用于Google Workspace API的Python示例
05-12
Google Workspace Python示例 适用于文档的Python示例。 蜜蜂 管理员SDK 应用脚本 日历 课堂 文件 将Doc输出为JSON :将Google Doc的内容转储为JSON格式 提取文本:仅提取Google文档的文本 邮件合并:从纯文本或...
Java-网络
2301_81543552的博客
09-14 444
Java网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
4.网络编程
weixin_45476535的博客
09-14 319
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
使用堡垒机登录ftp服务报网络不可达错误
ajax_beijing_java的博客
09-14 108
解决方法:由于不想安装额外的服务在服务器上,于是想到使用sftp服务代替ftp服务,发现是可以使用的。22端口默认就是启动的,在堡垒机上加了sftp服务,再次连接服务器并使用filezila传输文件 ,文件可以正常传输。至此,问题得到解决。场景:开发同事想使用ftp传输服务,连接服务器时报网络不可达错误。排查发现,如果想使用ftp服务,需要在服务器上部署ftp服务,21端口才会存在,才可以访问该服务。
网络工程师学习笔记——网络互连与互联网
最新发布
2301_77279557的博客
09-14 680
网络互连相关技术
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值