什么是轮询Microsoft Graph API的好策略，使我不会被限制？ - 腾讯云开发者社区

文章/答案/技术大牛

发布

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

更令人警惕的是，这种攻击手法并非APT29首创，而是从网络犯罪黑产中“借鉴”而来——如今，国家级黑客正将原本用于金融诈骗的“设备代码钓鱼”技术武器化，用于长期战略情报窃取。二、什么是“设备代码钓鱼”？...# 攻击者侧：使用Microsoft Graph API发起设备代码请求（简化示例）import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后，攻击者即可调用Microsoft Graph API，读取邮件、日历、OneDrive文件、Teams消息，甚至发送新邮件冒充受害者——全程无需知道密码...，也不触发MFA。...（1）立即行动：限制设备代码流最直接有效的措施，是在Azure AD中通过条件访问策略（Conditional Access Policy）禁用设备代码授权。

1791 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

OAuth 是现代互联网身份授权的事实标准。它允许第三方应用在不获取用户密码的前提下，访问用户在其他服务（如 Google、Microsoft）上的资源。...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近...芦笛强调，“区别只在于：用户以为自己在授权‘安全扫描工具’，实际授权的是‘数据窃取机器人’。”三、防御盲区：为什么MFA也挡不住？多因素认证（MFA）曾被视为钓鱼防御的“金钟罩”。...更隐蔽的是，攻击者可申请最小必要权限（如仅 Mail.Read），避免触发高风险权限警报。而企业若未启用条件访问（Conditional Access）策略，这类低权限授权几乎不会被审计系统标记。...部署条件访问（Conditional Access）策略限制高风险操作（如令牌颁发）仅允许从受信任设备、网络或地理位置发起。

3131 0

您找到你想要的搜索结果了吗？

是的

没有找到

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

本文聚焦于近期在Microsoft 365环境中频发的“设备代码钓鱼”（Device Code Phishing）攻击，深入剖析攻击者如何滥用OAuth 2.0设备授权流程，在不获取用户密码的前提下实现账户接管...与refresh_token；利用令牌调用Microsoft Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用，client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”，并申请了以下API权限：Microsoft Graph: Mail.ReadWrite...4 防御策略体系构建4.1 禁用非必要设备授权流程最直接的缓解措施是在Azure AD中禁用设备代码授权流程。...未来需推动更细粒度的权限委托机制（如Microsoft Graph Delegated Permissions with Scopes Restriction）。另一个挑战是刷新令牌的长期有效性。

2491 0

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

一、一场“巧合”的攻击暴露了更危险的趋势2025年10月，一家位于德国的能源企业安全团队在例行日志审计中发现异常：多个高管账户在凌晨时段调用了Microsoft Graph API，读取了大量内部邮件和...此时，受害者实际上是在向攻击者控制的应用授权！一旦确认，攻击者的轮询脚本立即获得Access Token，并可调用任意Graph API权限。...公共互联网反网络钓鱼工作组技术专家芦笛解释，“微软服务器看到的是正常API调用，防火墙看到的是HTTPS流量，EDR看到的是合法进程——没有任何异常信号。”...芦笛说，“当国家级黑客和脚本小子用同一套武器时，防御的难度就不再是技术问题，而是规模问题。”四、为什么传统防御集体失效？...“未来的身份安全，核心不是‘你是谁’，而是‘你授权了什么’。”芦笛总结道，“我们必须从‘凭证保护’转向‘授权治理’。”而这，或许才是对抗国家级黑客与黑产合流的终极答案。

1721 0

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

更危险的是，部分变种采用AiTM代理技术，在用户完成MFA验证后同步窃取会话Cookie，使攻击效果与真实登录无异。...4 防御体系构建4.1 启用基于上下文的条件访问策略Azure AD条件访问可限制高风险会话的令牌颁发。...建议策略包括：设备合规性要求：仅允许混合Azure AD加入或Intune标记为合规的设备访问敏感应用；地理位置限制：阻止来自高风险国家/地区的登录；匿名IP阻断：自动拒绝Tor或已知代理IP的请求。...以下为通过Microsoft Graph API创建条件访问策略的示例：policy = {"displayName": "Block risky logins to SharePoint","state...更重要的是，无密码认证不产生可被代理复用的会话Cookie，从根本上消除AiTM的攻击面。

3271 0

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

值得注意的是，该技术已不再局限于单一攻击者群体，而是呈现出国家级APT组织与网络犯罪团伙“战术趋同”的显著趋势。...更值得关注的是，部分犯罪团伙直接采购APT组织泄露的工具（如Graphish钓鱼套件），实现技术复用。这种“军民融合”式的攻击生态，加速了高级技术向低端市场的下沉。...权限：勾选Microsoft Graph的Delegated权限，如：Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...Graph API读取邮件：import requestswith open('stolen_token.json') as f:token = json.load(f)headers = {'Authorization...5 防御策略体系构建5.1 禁用非必要的设备授权流程最直接的缓解措施是在Azure AD中禁用设备代码授权服务主体。

2291 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...更严重的是，部分应用请求offline_access权限，可无限期刷新令牌，实现长达数月甚至数年的隐蔽驻留。现有研究多聚焦于凭据钓鱼或会话劫持，对OAuth同意滥用这一“授权层”攻击缺乏系统性分析。...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...可通过Microsoft Graph API动态评估权限风险：HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All...对照组：默认策略（允许用户同意）；实验组：启用四层防御（限制同意+条件访问+审计+监控）。

2431 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

更重要的是，它不再依赖窃取密码，而是利用合法身份提供商（IdP）的授权流程，使攻击流量表现为正常OAuth交互，极大提升隐蔽性。这种转变标志着钓鱼攻击从“凭证窃取”向“权限授予”的范式迁移。...攻击目标不再是静态密码，而是动态的、具有时效性的授权令牌；攻击载体不再是可执行文件，而是合法云服务的API接口。这一变化对企业的安全边界提出了全新挑战。...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1921 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

劫持授权响应、绕过多因素认证（MFA）等手段，在不获取用户密码的前提下实现持久化账户访问。...尤其在Microsoft 365、Google Workspace等企业生产力平台中，OAuth被深度集成于单点登录（SSO）、API调用、跨应用数据共享等关键场景。...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...以下Python脚本利用Microsoft Graph API实现自动化审计：import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

2861 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

关键词：OAuth钓鱼；中间人代理；UTA0355；定向攻击；Microsoft Entra ID；Google Workspace；条件访问策略1 引言随着单点登录（SSO）和第三方授权在企业数字化生态中的普及...user_code=ABCD-EFGH&device_code=xyz...一旦用户分享该URL，攻击者即可提取device_code，并在后台轮询Microsoft令牌端点，等待用户在其他设备上完成授权...本文提出四层防御策略：3.1 OAuth应用白名单与条件访问策略企业应通过Microsoft Entra ID（原Azure AD）或Google Workspace Admin Console，对第三方...Graph API支持查询用户授予的同意记录：GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization:...OAuth的设计初衷是提升用户体验，但其“用户同意即授权”的模型在缺乏上下文验证的情况下，极易被社会工程利用。值得注意的是，攻击者对Device Code Flow的使用尤为值得警惕。

2821 0

Netty权威指南_netty编程实战

大家好，又见面了，我是你们的朋友全栈君。...通道与流的不同之处在于通道是双向的，流只是在一个方向移动，而通道可用于读、写或者二者同时进行。因为 Channel 是全双工的，所以它可以比流更好地映射底层操作系统的 API。 3....Selector 会不断地轮询注册在其上的 Channel，如果某个 Channel 上面发生读或者写事件，这个 Channel 就处于就绪状态，会被 Selector 轮询出来，然后通过 SelectionKey...2.6 选择 Netty 的理由什么是 Netty Netty is an asynchronous event-driven network application framework for rapid...Netty 的优点功能强大使用简单性能高安全社区活跃版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。

6752 0

OpenAI推出企业级SharePoint连接器，挑战Microsoft 365 Copilot

考虑到Microsoft 365 Copilot使用的是OpenAI模型（包括GPT-5），很难理解为什么企业会选择OpenAI企业版，特别是那些使用SharePoint Online的企业（这意味着他们使用的是...访问通过针对Entra ID的OAuth认证授予，并且仅限于用户可访问的信息，就像任何其他使用Graph API与SharePoint Online和OneDrive for Business交互的应用一样...当然，Microsoft 365并不要求用户主体名称与用户的主要SMTP地址匹配，因此这里可能存在不匹配的情况。...OpenAI的优势在于从微软的困境中学习。OpenAI似乎使用范围限定来限制ChatGPT可以处理的SharePoint内容，这有点类似于受限内容发现的功能。为什么要使用OpenAI连接器？...除了避免购买Microsoft 365 Copilot许可证外，我始终无法理解为什么Microsoft 365租户允许人们将企业信息上传到ChatGPT进行处理。

1791 0

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

Graph API 的代码示例，验证防御措施的可行性。...区别于传统钓鱼研究聚焦于邮件内容或 URL 检测，本文强调从身份平台治理视角重构安全策略，确保在不牺牲协作效率的前提下阻断攻击入口。...一旦获得权限，攻击者可通过 Microsoft Graph API 发送邀请。...4 防御策略设计针对此类攻击，单一技术手段难以奏效，需构建纵深防御体系。4.1 策略层：限制邀请权限首要措施是收紧 Entra ID 中的外部协作策略。...B2B 协作的设计哲学是“默认开放、按需限制”，但在攻击者眼中，这等同于“默认暴露”。值得注意的是，微软已在 2025 年初更新文档，建议组织审查邀请策略，但尚未在产品层面增加自定义消息的内容扫描。

1720 0

.NET+AI | MEAI | 会话缓存（6）

MEAI 缓存机制:让 AI 应用响应提速 10 倍一句话简介通过 Microsoft.Extensions.AI 的缓存功能,智能存储和复用 AI 响应,显著降低 API 成本并将响应速度提升 10...验证缓存效果 var question = "什么是 Microsoft.Extensions.AI?"...options) { // 自定义规则:不缓存包含敏感词的请求 var text = string.Join(" ", messages.Select(m =>...成本: 节省 25% ⚠️ 注意事项 JSON 序列化限制 DistributedCachingChatClient 使用 JSON 序列化存储数据,存在以下限制: 限制项说明 RawRepresentation...缓存版本管理 MEAI 会在序列化格式变更时自动更新缓存版本号(当前 v2),使旧缓存失效,避免兼容性问题。

1661 0

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

但随着多因素认证（MFA）的普及，这种“硬碰硬”的方式成功率大幅下降。于是，攻击者转向更隐蔽的策略：不直接盗密码，而是诱导用户授权一个“看起来有用”的第三方应用。...它不依赖外部SaaS服务，而是直接调用Microsoft Graph API，实时扫描租户内的高风险行为：检测异常收件箱规则：如自动转发至外部域名、删除特定关键词邮件等；识别可疑OAuth应用授权：尤其是请求...技术内核：Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效，得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...实施条件式访问（Conditional Access）策略：例如，限制仅公司IP或合规设备可访问敏感数据。长期保留审计日志：默认日志仅保留30天，建议通过Azure订阅延长至1年以上，便于事后溯源。

1681 0

Microsoft Graph 的 .NET 6 之旅

Microsoft Graph 是一个 API 网关，它提供了对 Microsoft 365 生态系统中数据和智能的统一访问。...我将向您详细介绍我们是如何将 Microsoft Graph 构建到现在这样海量服务中的过程。...我们使用的是内部构建系统的时候，构建系统工具链与 .NET Core 不兼容。因此，在我们的案例中，第一步是使构建系统现代化。...对于像 Microsoft Graph 这样受计算约束的服务，使用新的运行时和算法来减少时间和空间复杂性至关重要，并且是使服务快速且可缩放的最有效方法之一。...现代的代码库更能吸引了人才（招聘），并使我们的开发人员能够使用更新的语言功能和API来编写更好的代码。像.NET Core中引入的 spans 这样的构造是无价的。

1.8K1 0

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

现有安全措施在应对这类攻击时存在明显短板：一是议员办公室IT资源有限，难以部署企业级端点防护；二是政治人员工作节奏快、外部沟通频繁，对安全策略的容忍度低；三是多因素认证（MFA）虽已普及，但易被会话劫持或...（2.4）横向移动与持久化获取邮箱访问权后，攻击者常利用“自动转发规则”窃取未来邮件，或通过Graph API读取联系人、会议记录，为下一轮攻击提供情报。...部分样本还部署了基于OAuth应用的持久化后门：POST https://graph.microsoft.com/v1.0/me/mailFolders/inbox/messageRulesAuthorization...（3.4）MFA实施不彻底虽然强制启用MFA，但未禁用基础认证（Basic Authentication）或未监控异常OAuth授权，使攻击者仍可通过令牌窃取绕过。...（5.1）系统架构前端：Outlook插件，提供举报按钮与可疑链接预览；中台：基于Microsoft Graph API的行为分析引擎；后台：条件访问策略管理与OAuth授权审计模块。

2041 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

关键词：OAuth 2.0；MFA绕过；Microsoft Entra ID；钓鱼攻击；身份安全；API权限；条件访问；第三方应用治理1 引言随着云办公的普及，Microsoft 365已成为全球企业数字基础设施的核心组成部分...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...6 讨论此类攻击的本质是身份授权机制与用户认知之间的错配。OAuth设计初衷是提升互操作性，但其“一次同意、长期访问”的模型在企业环境中构成重大风险。...技术上，需通过策略限制、行为监控与自动化响应降低暴露面；管理上，需提升用户对权限授权的认知水平。唯有将身份治理纳入整体安全架构，方能在云时代有效抵御此类高级钓鱼威胁。

2671 0

Nginx负载均衡策略_nginx高可用集群和负载均衡集群

大家好，又见面了，我是你们的朋友全栈君。 nginx的负载均衡策略有4种：轮询(默认) 最基本的配置方法，它是upstream的默认策略，每个请求会按时间顺序逐一分配到不同的后端服务器。...，那么认为该服务器会被认为是停机了 fail_time 服务器会被认为停机的时间长度,默认为10s。...缺省配置就是轮询策略。此策略适合服务器配置相当，无状态且短平快的服务使用。权重在轮询策略的基础上制定沦陷的几率。...轮询算法是把请求平均的转发给各个后端，使它们的负载大致相同；但是，有些请求占用的时间很长，会导致其所在的后端负载较高。...本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至举报，一经查实，本站将立刻删除。

1.6K1 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

更严重的是，若攻击者获取IdP管理员权限，可直接修改条件访问策略或注册恶意应用，造成全租户级风险。...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。.../.default返回的Access Token可立即用于读取邮件：GET /v1.0/me/messages HTTP/1.1Host: graph.microsoft.comAuthorization...例如，若受害者通常使用Windows 11 + Chrome 124访问Office 365，攻击者将配置代理以相同特征发起API请求，使登录活动在审计日志中呈现为“正常行为”。...Microsoft Graph提供/revokeSignInSessions API，可编程终止可疑会话：import requestsdef revoke_suspicious_sessions(user_id

2471 0

点击加载更多

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

高级OAuth钓鱼攻击的演化机制与防御体系构建

基于OAuth滥用的定向钓鱼攻击与防御机制研究

Netty权威指南_netty编程实战

OpenAI推出企业级SharePoint连接器，挑战Microsoft 365 Copilot

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

.NET+AI | MEAI | 会话缓存（6）

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

Microsoft Graph 的 .NET 6 之旅

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

Nginx负载均衡策略_nginx高可用集群和负载均衡集群

VoidProxy平台对多因素认证的绕过机制与防御对策研究

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐