OAuthSentry
收藏github2026-05-13 更新2026-05-14 收录
下载链接:
https://github.com/OAuthSentry/oauthsentry.github.io
下载链接
链接失效反馈官方服务:
资源简介:
OAuthSentry是一个静态的、以搜索为先的OAuth应用程序ID清单,涵盖多个身份平台(如Microsoft Entra、Google Workspace、GitHub)。每个应用程序被分为三类:合规(合法的一方或经过审查的第三方应用程序)、风险(在攻击者手法中反复出现的合法应用程序)和恶意(确认在野的恶意应用程序)。该数据集通过CSV、TXT和JSON格式提供馈送文件,用于防御团队的允许列表和狩猎调整。
OAuthSentry is a static, search-first inventory of OAuth application IDs, covering multiple identity platforms such as Microsoft Entra, Google Workspace, and GitHub. Each application is categorized into three types: compliant (legitimate parties or vetted third-party applications), risky (legitimate applications that repeatedly appear in attacker tradecraft), and malicious (confirmed in-the-wild malicious applications). This dataset offers feed files in CSV, TXT and JSON formats for allowlisting and threat hunting tuning by defense teams.
创建时间:
2026-04-27
原始信息汇总
数据集概述:OAuthSentry
OAuthSentry 是一个面向防御团队的、以搜索为导向的 OAuth 应用程序 ID 数据集。
数据集核心信息
- 目标平台:覆盖多个身份平台,目前包括 Microsoft Entra(已上线)、Google Workspace(测试版)和 GitHub(测试版)。未来计划支持 Slack、GitHub、Salesforce、Okta 等平台。
- 数据分类:所有 OAuth 应用被划分为三个面向防御者的类别:
- Compliance(合规):合法的第一方或经过审查的第三方应用,可作为白名单参考或用于狩猎调优。
- Risky(风险):在攻击者战术中被反复使用的合法应用,例如邮件同步客户端、云存储同步工具,或被 AADInternals/EvilProxy 滥用的第一方应用。
- Malicious(恶意):确认在野外存在的恶意应用,例如同意钓鱼、AiTM 诱饵、同形异义字冒充、威胁行为者重定向应用。
- 数据来源:数据集由社区策展(curated)和合规填充(compliance_fill)两种角色构成。
- Curated(策展):提供带有分类、严重性、评论和引用的观点性列表。目前由
mthcht/awesome-lists为 Entra 和 Google 提供。 - Compliance_fill(合规填充):提供目录式的第一方应用清单,补充策展来源未分类的应用,默认为合规类。目前由
merill/microsoft-info为 Entra 提供。 - 冲突处理:策展来源的分类优先级最高。
- Curated(策展):提供带有分类、严重性、评论和引用的观点性列表。目前由
- 数据格式与版本:数据以静态页面形式呈现,前端获取社区策展的 CSV 文件,并包含此仓库中的快照作为后备。
数据获取与使用方式
数据集支持多种格式和接口,便于集成到 SIEM/EDR 等安全工具中。
| 获取方式 | 描述 | 示例 |
|---|---|---|
| 平面文本/CSV 文件 | 按服务(Entra、Google、GitHub)和分类(compliance、risky、malicious)提供 .txt 和 .csv 格式的订阅源。同时提供整合所有服务的组合订阅源。 |
https://oauthsentry.github.io/feeds/entra/entra_malicious.txt https://oauthsentry.github.io/feeds/all/all_malicious.csv |
| 静态 REST API | 提供 JSON 格式的单个应用查询和批量查询接口。 | GET /feeds/api/v1/apps/{slug}.json(单个应用) GET /feeds/api/v1/lookup_by_appid.json(按应用ID批量查询) GET /feeds/api/v1/meta.json(数据集元数据) |
| 交互式工具 | 提供在线粘贴和分类工具,地址为 https://oauthsentry.github.io/#/triage。 |
注意:对于 GitHub 平台,其恶意应用列表(_malicious.txt)包含的是 OAuth 应用名称(小写),而非数字 ID。
数据结构与字段
无论是 CSV 还是 JSON API,每个应用记录均包含以下关键字段:
| 字段 | 描述 | 示例值 |
|---|---|---|
appid |
应用的唯一 ID。 | c5393580-f805-4401-95e8-94b7a6ef2fc2 |
appname |
应用的名称。 | Office 365 Management APIs |
service |
所属服务平台。 | entra |
category |
应用的分类(compliance, risky, malicious)。 | compliance |
severity |
严重级别(info, low, medium, high, critical)。 | info |
comment |
关于该应用的说明或上下文。 | Microsoft first-party app, used by SIEM connectors and Compliance Center. |
references |
与该应用相关的参考链接列表。 | ["https://learn.microsoft.com/...", "https://github.com/mthcht/awesome-lists/..."] |
slug |
应用的稳定标识符,由 appid 经过转换规则生成。 | c5393580-f805-4401-95e8-94b7a6ef2fc2 |
搜集汇总
数据集介绍
构建方式
在云身份平台广泛应用的背景下,OAuthSentry应运而生,它是一个面向防御团队、聚焦于OAuth应用ID的静态可搜索清单。该数据集的构建方式别具匠心,每日通过GitHub Actions工作流在04:17 UTC自动触发更新,遍历data/sources.json中声明的数据源。构建过程首先从mthcht/awesome-lists等社区策展源拉取带有显式分类的精选数据作为基准,随后以merill/microsoft-info等合规填充源补充第一方应用目录,仅对精选源未覆盖的应用ID自动归入合规类别。通过scripts/build_feeds.py脚本执行合并与冲突仲裁,当同一应用ID在多个源中出现分类矛盾时,精选源的判定拥有更高优先级,确保了最终oauth_apps.csv的真实准确。
使用方法
OAuthSentry为用户提供了灵活多样的使用方式。最基本的是直接通过https://oauthsentry.github.io访问单页搜索界面,在浏览器中实时查询应用分类。对于自动化集成场景,可借助稳定Feed URL获取按服务与类别划分的纯文本或CSV文件,例如使用curl命令拉取跨服务的恶意应用列表并剔除注释行,直接纳入Splunk查找表或Sentinel/Defender威胁情报规则中。更进一步,数据集还暴露了静态REST API,支持通过特定slug规则构建单应用记录查询端点,或通过bulk lookup接口批量获取全部应用分类信息,适合SOAR剧本编排与Python告警富化流程。用户也可下载meta.json获取全局统计元数据,便于态势感知展示。
背景与挑战
背景概述
OAuthSentry诞生于2024年,由社区安全研究者创建并托管于GitHub组织oauthsentry之下,旨在应对现代身份与访问管理(IAM)领域日益严峻的OAuth应用滥用威胁。随着企业广泛采用Microsoft Entra、Google Workspace等多云身份平台,攻击者频繁利用合法或恶意OAuth应用进行权限提升、数据窃取与横向移动,传统基于签名的检测手段难以覆盖动态变化的恶意应用指纹。该数据集以防御者视角,系统性地对跨平台的OAuth应用ID进行合规、风险与恶意三级分类,并借助静态页面及结构化Feed为安全运营团队提供可实时集成的威胁情报参考,成为威胁狩猎、告警调优与应急响应的权威数据基石。
当前挑战
该数据集面临的核心挑战包括:其一,OAuth应用生命周期极短、入库频繁,攻击者不断注册新应用或仿冒合法应用,对数据集的时效性与持续更新能力提出严苛要求,需依赖每日自动化流水线从多个上游源拉取并合并数据,却仍存在毫秒级窗口期遗漏风险。其二,异构数据源的统一分类是重大工程难题,各上游源标签体系不一(如mthcht的combined类别需归一化),且curated与compliance_fill两类数据存在冲突时需依赖硬编码规则仲裁,缺乏自动化启发式消歧机制。其三,应用ID格式高度异构,如GitHub仅暴露应用名称而非数值ID,导致匹配困难,需设计特殊的slug转换规则与名称级IOC适配方案,进一步增加了SIEM集成时的兼容性挑战。
常用场景
经典使用场景
在云身份与访问管理领域,安全运维团队常受困于OAuth应用泛滥导致的攻击面扩张问题。OAuthSentry作为一款聚焦防御者视角的OAuth应用ID静态检索目录,其核心使用场景在于为Microsoft Entra、Google Workspace及GitHub等主流身份平台提供经过三级分类(合规、风险、恶意)的应用清单。研究人员可直接利用该数据集构建SIEM/EDR的威胁情报源,通过内置的CSV/TXT格式订阅源或RESTful API接口,实现自动化告警富化与恶意应用实时匹配。尤为重要的是,其提供的跨平台汇总文件(如all_malicious.txt)支持以一行命令拉取后注入Splunk、Microsoft Sentinel等检测工具,大幅降低了安全分析师手动梳理OAuth应用白名单与黑名单的运维成本。
解决学术问题
此数据集精准回应了云安全研究中长期存在的OAuth应用威胁情报碎片化与标准化缺失难题。传统学术工作多依赖单一厂商威胁报告或手动收集的IOC样本,难以形成跨平台、可复用的基准分类体系。OAuthSentry通过融合mthcht/awesome-lists等社区策展源与merill/microsoft-info等官方目录,首创了'策展优先级覆盖填充'的数据融合策略,解决了不同来源分类冲突时的权威性判定问题。其每日自动更新的CI/CD流水线设计,更从方法论层面为持续演进的OAuth威胁图谱研究提供了可复现的数据基础设施,推动了恶意OAuth应用检测、零信任访问控制策略优化等方向从定性分析向定量建模的范式跃迁。
实际应用
在企业安全运营一线,OAuthSentry展现出了鲜明的实战价值。安全团队可将其恶意应用列表直接导入Azure AD条件访问策略,实现对已知恶意客户端ID的即时拦截。对于SOC分析师而言,在响应OAuth同意授予告警时,只需通过一次API调用即可将陌生的AppID与数据集中的百万级记录进行交叉比对,瞬间判别其归属类别与威胁等级。该数据集还支持与GitHub审计日志联动——针对GitHub平台以应用名称而非数字ID作为IOC的特点,OAuthSentry专门设计了名称匹配机制,使DevSecOps团队能够精准识别冒充Heroku Dashboard等知名服务的恶意OAuth应用。此外,其提供的paste-and-classify交互工具更让一线工程师无需编写代码即可完成应用信誉查询。
数据集最近研究
最新研究方向
随着OAuth协议在云身份认证中的广泛部署,攻击者频繁利用恶意OAuth应用实施凭据窃取、中间人钓鱼(AiTM)及同形异义伪装攻击,OAuthSentry应运而生。作为面向防御团队的开源情报库,该项目汇聚了来自Microsoft Entra、Google Workspace等平台的应用ID,通过合规、风险与恶意三级分类体系,为安全运营中心(SOC)提供可被SIEM/EDR直接消费的结构化威胁情报。其前沿方向聚焦于将静态应用清单转化为实时查询接口与自动化编排(SOAR)的富化数据源,结合每日自动更新的社区驱动机制,填补了OAuth应用信任链中自动化检测与响应能力的空白,成为云身份安全领域对抗凭证滥用与供应链投毒的关键参考基线。
以上内容由遇见数据集搜集并总结生成
