"Update User“操作提供的”权限不足，无法完成该操作。“Microsoft Graph API中出现错误 - 腾讯云开发者社区

文章/答案/技术大牛

发布

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

攻击者通过伪造合法服务（如Cloudflare验证页或微软账户修复向导），引导用户在浏览器中完成看似无害的操作——复制粘贴一个URL或点击“同意”按钮，实则触发OAuth授权请求，将访问令牌（access...四、企业授权管理现状与漏洞尽管主流云平台提供应用授权管理界面（如Microsoft Entra ID中的“应用权限”面板），但多数企业在实践中存在以下问题：第一，授权可见性不足。...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权...import requestsdef revoke_consent(user_id, app_id, access_token):url = f"https://graph.microsoft.com/

1931 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

分析指出，当前企业普遍存在的第三方应用管理缺失、用户对OAuth机制认知不足以及平台默认宽松的授权策略，共同构成了该攻击得以成功的基础条件。...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...注册过程无需特殊权限，任何拥有个人Microsoft账户的用户均可完成。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...4 企业安全配置中的薄弱环节尽管微软提供多项安全控制，但实际部署中普遍存在以下问题：4.1 第三方应用授权策略宽松默认情况下，Microsoft Entra ID允许所有用户注册和授权第三方应用。

2701 0

您找到你想要的搜索结果了吗？

是的

没有找到

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

该流程允许用户在另一台具备浏览器的设备上完成授权，从而获取访问令牌。...一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用，client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”，并申请了以下API权限：Microsoft Graph: Mail.ReadWrite...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json

2521 0

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

Graph API 的代码示例，验证防御措施的可行性。...邀请可通过以下方式发起：手动邀请：管理员或具有“Guest Inviter”角色的用户通过 Azure 门户、Microsoft Graph API 或 PowerShell 发送邀请。...一旦获得权限，攻击者可通过 Microsoft Graph API 发送邀请。...邮件内容通常具备以下特征：权威性：使用“Microsoft 账单团队”等正式称谓；紧迫性：“今日扣款”“24 小时内生效”等时间压力；可操作性：提供明确行动指令（“立即致电”）；低技术门槛：不要求用户点击链接...Single User条件：同一用户在 1 小时内发送超过 5 次邀请响应：自动禁用该用户邀请权限并告警Graph API 查询示例：GET https://graph.microsoft.com/v1.0

1740 0

基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

本文系统剖析该攻击链的技术细节，指出其成功核心在于对“生产力惯性”——即用户对高频办公操作的自动化响应倾向——的精准利用。...研究表明，仅靠用户教育不足以应对此类情境化欺骗，必须通过架构级控制压缩攻击面。本研究为云办公环境下的身份安全防护提供了可落地的技术路径。...传统钓鱼攻击多以“账户异常”“发票待查”等通用话术诱导点击，但近期出现的新一轮攻击展现出显著的行为工程特征：攻击者不再试图制造恐慌，而是复用用户每日重复的操作语境，将恶意请求无缝嵌入正常工作流中。...获得有效会话后，攻击者通过Graph API注册恶意OAuth应用：POST https://graph.microsoft.com/v1.0/applicationsContent-Type: application...应转向情境化训练：演示如何检查浏览器地址栏中的根域名（如login.microsoftonline.com而非microsoft-office.com）；教育用户：MFA推送不应在无主动登录时出现；推广

2361 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...用户点击链接后，被重定向至真实的Microsoft Entra ID OAuth同意页面，在看似无害的提示下授予Mail.Read、Calendars.Read、User.ReadWrite等权限。.../v1.0/me/mailFolders/inbox/messageRules',json=rule_payload,headers=headers)此类操作完全通过合法API完成，日志中仅显示“应用ID...4.2 条件访问：基于权限范围的策略拦截创建条件访问策略，阻止包含高危权限的应用获取令牌：策略逻辑：触发条件：应用请求包含Mail.ReadWrite、User.ReadWrite.All等；操作：阻止登录...可通过Microsoft Graph API动态评估权限风险：HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All

2441 0

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

全文结构如下：第二部分回顾OAuth 2.0设备授权流程的标准实现；第三部分分析APT与犯罪团伙如何协同利用该技术；第四部分通过实验复现攻击链并提供代码示例；第五部分提出系统性防御策略；第六部分讨论策略落地中的工程权衡...留空（设备授权无需回调）API权限：勾选Microsoft Graph的Delegated权限，如：Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...建议：为高管、IT、财务人员强制启用FIDO2；在条件访问策略中要求高风险操作必须使用无密码认证。...”事件；Application consent logs 中的非常规client_id授权；Token issuance logs 中的异常权限范围。...此外，OAuth权限模型本身存在粒度不足问题。例如，Mail.ReadWrite权限无法限定为“仅收件箱”，这使得即使合法应用也可能被滥用于数据窃取。未来需推动更细粒度的权限委托机制。

2301 0

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

通过部署原型系统验证，该框架在模拟攻击环境中成功阻断87%的凭证泄露尝试，并显著缩短威胁响应时间。研究表明，立法机构需摒弃“低技术风险”认知偏差，建立与其战略价值相匹配的网络安全能力建设路径。...（2.4）横向移动与持久化获取邮箱访问权后，攻击者常利用“自动转发规则”窃取未来邮件，或通过Graph API读取联系人、会议记录，为下一轮攻击提供情报。...API调用框架内完成，难以被传统日志监控识别。...（5.1）系统架构前端：Outlook插件，提供举报按钮与可疑链接预览；中台：基于Microsoft Graph API的行为分析引擎；后台：条件访问策略管理与OAuth授权审计模块。...（5.2）关键功能代码示例自动检测并阻断恶意邮件转发规则：from microsoft_graph import GraphClientdef detect_malicious_forwarding(user_id

2041 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

消息中附带一个标准微软短链：**https://aka.ms/devicelogin**（真实有效的微软设备登录入口），并提供一组8位字母数字混合的“设备代码”，例如 XK92-MPQ7。...当用户在官网输入该代码并授权，就等于亲手把权限交给了这个恶意应用。”...问题在于：步骤4中的授权页面由微软官方提供，用户无法分辨背后的应用是否可信。“普通用户看到的是微软的 UI，但授权的对象却是攻击者注册的 OAuth 应用。”...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近...原因很简单：MFA 验证的是“用户身份”，而非“授权对象”。当用户在微软官网完成 MFA 验证后，系统认为“这是本人操作”，于是放心地将权限授予请求的应用。

3211 0

基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

OAuth滥用：攻击者诱导用户授权一个看似无害的第三方应用（如“PDF Viewer”、“Calendar Sync”），该应用请求过度的API权限（如Mail.ReadWrite, Calendars.ReadWrite...Check的出现，正是对这一需求的直接回应——提供一个透明、可审计、可定制的开源解决方案。...无法防御高度定制化钓鱼页：若攻击者使用全新域名且页面不含关键词，仅靠内容特征可能不足。无Graph API集成：当前版本不自动撤销会话或令牌，需管理员手动响应。...6 安全与隐私考量Check在设计上严格遵循最小权限原则：不请求webRequest或cookies权限，无法读取用户浏览历史或认证Cookie；所有分析在本地完成，无远程服务器接收用户数据；域名指纹库通过...与Microsoft Graph API联动：在检测到钓鱼后，自动调用/revokeSignInSessions终结用户所有活动会话。

2531 0

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

而在本案例中，攻击者只需在SharePoint中执行“共享”操作，微软的基础设施便会自动代劳发送邮件。...以下是一个基于Python的示例，演示如何利用Microsoft Graph API查询SharePoint共享活动，并基于启发式规则识别异常模式。...", "supplier-b.net", "client-c.org"}def get_access_token(self) -> str:"""获取Microsoft Graph API访问令牌"""...}/auditLogs/directoryAudits" # 简化示例，实际应使用unifiedAuditLogs# 注：Graph API中统一审计日志的端点可能需要特定权限和不同的查询方式# 此处仅为逻辑演示...fetch_sharing_activities函数负责从Microsoft Graph API拉取审计日志（实际部署中需处理分页和API限流）。

1131 0

Telegram机器人在欧洲凭证钓鱼中的协同机制与防御路径

传统钓鱼依赖静态表单提交与邮件回传，响应延迟高、操作闭环弱。然而，自2024年起，欧洲地区出现一种以Telegram机器人为交互枢纽的新型钓鱼模式，显著提升了攻击效率与隐蔽性。...Telegram Bot API的开放性为此类攻击提供了技术基础。任何开发者均可注册Bot并获取唯一token，通过简单HTTP请求实现消息收发。...“Microsoft Authenticator”确认页，诱导用户点击“Approve”；会话接管：获取Refresh Token后，攻击者通过Graph API访问邮箱、OneDrive，并向联系人发送新钓鱼邮件...6 结论Telegram机器人在欧洲凭证钓鱼中的应用，标志着攻击模式从“静态投递”向“动态交互”的演进。其通过Bot API实现数据实时回传与操作指令下发，显著缩短攻击窗口并提升成功率。...技术上，该模式依赖轻量级HTTP回调与开放通信平台，具备高弹性与低部署成本；防御上，传统边界防护已显不足，需深入至身份上下文与行为时序层面。

2671 0

基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

文中通过 Python 与 Microsoft Graph Security API 的代码示例，展示如何实现异常登录行为的自动化检测与响应。...、设备指纹、访问模式建立异常检测规则；员工培训不足：未强调“IT 部门绝不会索要 MFA 批准”这一基本原则；权限过度分配：普通行政人员拥有对高敏感数据库的直接读取权限。...4.2 检测层：基于行为的异常识别即使攻击者获得凭证，其行为模式通常与合法用户存在差异。可通过 Microsoft Graph Security API 实时监控高风险活动。...结果表明：环境 A 中，85% 的测试用户在接到“IT 电话”后批准 MFA；环境 B 中，攻击者无法完成登录（因触发高风险阻断），且异常登录尝试在 3 分钟内被 SOC 团队响应。...此外，通过 Graph API 监控，我们成功捕获了所有模拟的“不可能旅行”与“异常数据访问”事件，验证了检测机制的有效性。

2380 0

Restful API 设计指北

它说明了请求的大致情况，是否正常完成、需要进一步处理、出现了什么错误，对于客户端非常重要。...），导致服务端无法处理 401 Unauthorized 请求的资源需要认证，客户端没有提供认证信息或者认证信息不正确 403 Forbidden 服务器端接收到并理解客户端的请求，但是客户端的权限不足...Error 服务器内部错误，导致无法完成请求的内容 503 Service Unavailable 服务器因为负载过高或者维护，暂时无法提供服务。...比如用户的私人信息只能自己能访问，其他人无法看到；有些特殊的操作只能管理员可以操作，其他用户有只读的权限等等如果没有通过验证（提供的用户名和密码不匹配，token 不正确等），需要返回 401 Unauthorized...状态码，并在 body 中说明具体的错误信息；而没有被授权访问的资源操作，需要返回 403 Forbidden 状态码，还有详细的错误信息。

1K2 0

凭证窃取主导下的现代网络攻击链演化与防御体系构建

尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中，一旦主账户凭证失窃，攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄，而平均检测延迟仍超过...OAuth 2.0授权虽简化了单点登录（SSO），但也导致权限过度授予问题。例如，一个仅需读取日历的协作工具，常被授予“完全访问邮箱”权限，一旦该应用令牌泄露，攻击者可直接读取高管邮件。...此过程中，攻击者无需部署恶意软件，全程利用合法API调用，规避传统EDR检测。思科报告显示，73%的勒索事件中，攻击者在获得凭证后4小时内完成数据加密或外传。...5.3 SOAR联动强制轮换（TheHive/Cortex 示例）当Stealer Logs中出现user@company.com:password123，SOAR工作流自动执行：调用Microsoft...Graph API /users/{id}/revokeSignInSessions；发送Teams通知至用户及IT支持；创建Jira工单要求用户完成安全培训；更新IAM策略，强制启用FIDO2。

2561 0

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

该手法巧妙规避了传统邮件安全网关对“外部发件人”或“可疑URL”的检测规则，导致防御体系出现结构性盲区。...一旦得手，攻击者可立即利用Graph API遍历收件箱，提取包含财务、合同、人事等关键词的邮件线程，自动生成极具欺骗性的横向钓鱼内容，形成指数级扩散。面对此类攻击，仅依赖邮件层防护已显不足。...该操作完全合法，产生的链接形如：https://1drv.ms/u/s!...以下为通过Microsoft Graph API创建条件访问策略的示例：policy = {"displayName": "Block risky logins to SharePoint","state...会话的User-Agent、IP、地理位置是否与共享创建者一致？通过构建会话图谱（Session Graph），将文件访问、登录、API调用等事件关联，可有效识别异常跳转链。

3381 0

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

Tool”的应用，申请Mail.ReadWrite、Files.Read.All、User.Read等高权限范围，并诱导用户授权（或利用已窃取的管理员令牌静默授权）。...搜索并下载敏感文档：利用Graph API遍历OneDrive与SharePoint中的文件夹，下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...RBI在云端沙箱中渲染页面，仅将像素流返回终端，确保恶意脚本无法接触本地凭证存储。...以下Python脚本利用Microsoft Graph API实现授权审计：import requestsdef audit_oauth_apps(user_token):headers = {"Authorization...": f"Bearer {user_token}"}url = "https://graph.microsoft.com/v1.0/me/oauth2PermissionGrants"response

2331 0

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

一、一场“巧合”的攻击暴露了更危险的趋势2025年10月，一家位于德国的能源企业安全团队在例行日志审计中发现异常：多个高管账户在凌晨时段调用了Microsoft Graph API，读取了大量内部邮件和...此时，受害者实际上是在向攻击者控制的应用授权！一旦确认，攻击者的轮询脚本立即获得Access Token，并可调用任意Graph API权限。...芦笛指出，“一旦拿到第一个Token，后续的横向移动、权限提升、数据外泄，都是标准化操作。”更令人担忧的是，工具链的共享。...但设备代码流中，MFA是在微软官方页面完成的，攻击者无需绕过MFA，而是利用MFA的成功结果。“MFA防的是凭证窃取，不是授权滥用。”...Tool”）；定期检查 https://account.microsoft.com/privacy/ 中的应用权限列表。

1731 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...由于应用名称与图标可自定义，且权限描述使用通用术语（如“读取您的邮件以提供服务”），用户极易误判为合法请求。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers..."microsoft-user-default-low" -Description "Block user consent"# 为特定应用分配最小权限New-MgServicePrincipalAppRoleAssignment...以下Python脚本利用Microsoft Graph API实现自动化审计：import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

2871 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

更严重的是，若攻击者获取IdP管理员权限，可直接修改条件访问策略或注册恶意应用，造成全租户级风险。...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...Microsoft Graph提供/revokeSignInSessions API，可编程终止可疑会话：import requestsdef revoke_suspicious_sessions(user_id..., access_token):url = f"https://graph.microsoft.com/v1.0/users/{user_id}/revokeSignInSessions"headers...DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌，该私钥与TLS连接绑定。即使攻击者窃取Access Token，也无法在其他连接中使用。

2481 0

点击加载更多

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

Telegram机器人在欧洲凭证钓鱼中的协同机制与防御路径

基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

Restful API 设计指北

凭证窃取主导下的现代网络攻击链演化与防御体系构建

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

高级OAuth钓鱼攻击的演化机制与防御体系构建

VoidProxy平台对多因素认证的绕过机制与防御对策研究

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐