文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

小程序中wx.login与获取用户信息调用的时机

") } } 阅读上面源码,在getPhoneNumber函数中,我们先调用了wx.login,从而获取code,然后再getPhoneNumber的参数中回去iv和加密信息,将其发送给后端解密...注意 在回调中调用 wx.login 登录,可能会刷新登录态。此时服务器使用 code 换取的 sessionKey 不是加密时使用的 sessionKey,导致解密失败。...") } } }) 此时code的获取时机是早于获取电话号码的,当用加密信息去解密时,code所对应的解密信息和加密信息是配套的。...如果是第一种方式,先获取了加密信息,在去login的,此时解密信息已经更新了,拿着加密信息去解密就会报错。...以上便是笔者在获取用户电话号码时出现的错误以及解决方法,希望对你有所帮助。

3.5K40

微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

消息中附带一个标准微软短链:**https://aka.ms/devicelogin**(真实有效的微软设备登录入口),并提供一组8位字母数字混合的“设备代码”,例如 XK92-MPQ7。...OAuth 是现代互联网身份授权的事实标准。它允许第三方应用在不获取用户密码的前提下,访问用户在其他服务(如 Google、Microsoft)上的资源。...问题在于:步骤4中的授权页面由微软官方提供,用户无法分辨背后的应用是否可信。“普通用户看到的是微软的 UI,但授权的对象却是攻击者注册的 OAuth 应用。”...Microsoft Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep...(5)else:print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:#

32110
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

    据CyberPress披露,攻击者通过已被攻陷的Microsoft 365账户创建真实的OneDrive或SharePoint文件共享链接,并在邮件中嵌入“文档已安全加密,请登录查看”等诱导性文案,大幅提升用户点击意愿...此类链接初期指向微软官方域名(如1drv.ms、sharepoint.com),通过SPF/DKIM验证,有效绕过传统邮件安全网关的外部域名过滤策略;随后,页面内嵌按钮或评论区中的二次跳转链接将用户导向仿冒登录门户...,攻击者立即调用Microsoft Graph API遍历收件箱:import requestsACCESS_TOKEN = "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIs....以下为基于Microsoft Purview审计日志的异常共享检测逻辑:import pandas as pd# 假设audit_logs为从Microsoft 365获取的共享事件列表df = pd.DataFrame...会话的User-Agent、IP、地理位置是否与共享创建者一致?通过构建会话图谱(Session Graph),将文件访问、登录、API调用等事件关联,可有效识别异常跳转链。

    33810

    基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

    敏感标签保护:利用Microsoft Purview信息保护(MIP)功能,对包含敏感信息的文档自动应用加密标签。即使文档被非法下载,未授权用户也无法打开查看内容。...以下是一个基于Python的示例,演示如何利用Microsoft Graph API查询SharePoint共享活动,并基于启发式规则识别异常模式。...", "supplier-b.net", "client-c.org"}def get_access_token(self) -> str:"""获取Microsoft Graph API访问令牌"""...,实际调用需参考最新MS Graph文档# 模拟返回数据用于演示逻辑mock_logs = [{"user": "alice@company.com","operation": "FileShared"...fetch_sharing_activities函数负责从Microsoft Graph API拉取审计日志(实际部署中需处理分页和API限流)。

    11310

    CyberDrain推免费工具帮中小企业守住Microsoft 365大门

    更危险的是,攻击者还会利用这些权限悄悄创建邮件自动转发规则,将所有收件悄悄抄送给外部邮箱;或设置收件箱隐藏规则,让用户对后续钓鱼邮件毫无察觉。“现在的钓鱼,已经从‘偷钥匙’进化到‘骗你亲手开门’。”...它不依赖外部SaaS服务,而是直接调用Microsoft Graph API,实时扫描租户内的高风险行为:检测异常收件箱规则:如自动转发至外部域名、删除特定关键词邮件等;识别可疑OAuth应用授权:尤其是请求...技术内核:Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效,得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...例如:调用/users/{id}/mailFolders/inbox/messageRules检查收件箱规则;调用/oauth2PermissionGrants列出所有OAuth授权记录;调用/auditLogs

    16810

    针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

    针对政治机构特有的工作模式——高流动性、外部协作频繁、信息敏感度高但IT自主权有限——本文提出一套融合身份治理、行为基线建模与最小权限原则的纵深防御框架。...然而,随着数字民主进程加速,议员及其幕僚团队已成为掌握政策动向、选民数据与跨部门协调信息的关键节点。...(2.4)横向移动与持久化获取邮箱访问权后,攻击者常利用“自动转发规则”窃取未来邮件,或通过Graph API读取联系人、会议记录,为下一轮攻击提供情报。...(5.1)系统架构前端:Outlook插件,提供举报按钮与可疑链接预览;中台:基于Microsoft Graph API的行为分析引擎;后台:条件访问策略管理与OAuth授权审计模块。...,LegisShield实现:恶意OAuth应用授权拦截率:94%;凭证钓鱼页面访问阻断率:87%;平均威胁响应时间从4.2小时降至18分钟;用户对安全干预的接受度达89%,认为“不影响日常工作流”。

    20410

    使用SemanticKernel 进行智能应用开发(2023-10更新)

    SK Planner :自动函数调用 使用 GPT4 的一个有用技术是生成一个计划,其中包含解决问题的明确步骤。Planner 是一个函数,它接受用户的请求并返回有关如何完成请求的计划。...这也意味着为 ChatGPT、Bing 和 Microsoft 365 构建的插件可以无缝导入到SK中。 大多数“插件”将涉及与外部服务的集成,例如LLM,数据库,MS Teams,SAP等。...由于SK来自Microsoft,因此它有一个用于Microsoft Graph [14]的OOTB插件集成了大量的Microsoft 服务。...SK 没有内置功能将聊天记录存储在文件系统、Redis 缓存、MongoDB 或其他数据库等持久存储中,这部分功能的演示包含在参考应用程序 Chat Copilot[17]。...使用Semantic Kernel记录和计量请求有几个主要好处: 您可以轻松跟踪 API 使用情况和成本,因为每个令牌对应于一个计费单位。

    2.2K30

    Office开发者计划-永久白嫖Office365

    :证书和密码->添加客户端密码 ​ 确认完成在列表处可以看到生成的记录,点击选择复制值(即客户端密码) b.API调用工具 ​ Microsoft Graph 浏览器是一种基于 Web 的工具...,可用于生成和测试对 Microsoft Graph API 的请求 ​ API需要的权限设定可在预览卡中查阅,授权后则可再次尝试调用响应 ​ Postman 是一个可用于向 Microsoft...Graph API 发出请求的工具:Postman&Microsoft Graph API使用 ​ c.Microsoft Graph 快速入门示例 ​ Microsoft Graph入门...将下载的包解压缩到目录中,然后转到命令行界面中的 graph-tutorial 目录 输入composer install 安装项目依赖项 // 如果有指定php版本要求可临时使用下述指令忽略版本要求...maven依赖,随后编写接口测试 ​ 主要步骤说明:注册应用、身份验证、API调用 其API调用核心思路为 创建一个authProvider用户凭据(根据实际身份验证的方式获取,不同渠道构建方式不同

    11.4K32

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    研究基于实际捕获的恶意应用注册信息、授权日志与API调用轨迹,系统还原了从社会工程诱骗、OAuth同意页面伪造到数据外传的完整攻击链。...OAuth 2.0作为现代身份联合与资源授权的标准协议,在Microsoft Entra ID中被广泛用于第三方应用集成。用户通过一次授权操作,即可授予外部应用对其邮箱、日历、文件等资源的访问权限。...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...3.3 令牌获取与持久化访问用户点击“同意”后,Microsoft将授权码发送至redirect_uri。...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

    27010

    VoidProxy平台对多因素认证的绕过机制与防御对策研究

    /响应中继,并在检测到Microsoft的持久化认证Cookie(ESTSAUTHPERSISTENT)时触发日志记录,供攻击者后续使用。...,即使用户登出仍有效;Access Token:短期有效(通常1小时),但可用于调用Microsoft Graph API。...攻击者利用这些令牌可直接通过API访问用户邮箱、OneDrive文件、Teams聊天记录等,完全绕过前端UI与MFA提示。...Microsoft Graph提供/revokeSignInSessions API,可编程终止可疑会话:import requestsdef revoke_suspicious_sessions(user_id...DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌,该私钥与TLS连接绑定。即使攻击者窃取Access Token,也无法在其他连接中使用。

    24810

    directshow使用说明_Process Monitor

    单纯从本地系统来说,DirectShow可以实现不同格式的媒体文件的解码播放、或格式之间的相互转换,可以从本地机器中的采集设备采集音视频数据并保存为文件,可以接收、观看模拟电视等。...Microsoft 通过DirectShow给多媒体程序开发员提供了标准的、统一的、高效的API接口。...图1为用户程序与DirectShow及外部对象的关系框 图1  DirectShow系统框图 从图1 中可以看到,DirectShow的滤波器支持多种外部设备,包括本地文件系统、视频采集卡、有线电视接口...它从外部设备获取原始数据并作简单处理,再将数据往下一级滤波器送。外部设备可以是文件系统、Internet 数据流、视频采集卡等。...2.2、滤波器图(Filter Graph) 任何用DirectShow开发的应用程序,都必须创建多个滤波器并进行恰当的连接,于是数据流就可以从源滤波器经传送到 Render Filter 输出,被用户所使用

    2K20

    office365 E5调用api使E5开发者续订 修复版AutoApi (不使用服务器)

    microsoft graph的api,一次调用10个api,5个onedrive的api还有4个outlook的api,剩下一个是组的api,调用一次后延时等待五分钟再重复调用。...最后有视频教程 E5自动续期程序,但是不保证续期 设置了周六日(UTC时间)不启动自动调用,周1-5每6小时自动启动一次 (修改看教程) 调用api保活: 查询系api:onedrive,outkook...再点上方的新注册就会跳出一个新建应用的界面,应用名字随意填写,然后选择任何组织目录(任何 Azure AD 目录 – 多租户)中的帐户,重定向url选web,填入http://localhost:53682...记录ID 下面会用到 点击左边管理的证书和密码,点击+新客户端密码,点击添加,复制新客户端密码的值 记录这个值 下面会用到 点击左边管理的API权限,点击+添加权限,点击常用Microsoft API...里的Microsoft Graph(就是那个蓝色水晶), 点击委托的权限,然后在下面的条例搜索以下12个 最后点击底部添加权限 Calendars.ReadWrite 、 Contacts.ReadWrite

    8.1K11

    Microsoft 365 E5 Renew X 部署教程

    Microsoft 365 E5 Renew X Microsoft 365 E5 Renew X是一款网页版的E5续订服务,其依赖网页浏览器呈现支持用户多端操作,完全将E5账户API调用托管在了服务器端因此用户无需电脑也可使用...Microsoft 365 E5 Renew X 由来 Microsoft 365 E5 Renew X为Microsoft 365 E5 Web的升级版,相对于旧版其增强了管理功能且更容易部署,API...主要功能 用户端 两种可选的调用权限:用户未登录作为守护程序调用(需要客户端密码)、程序以登录用户身份直接调用(需要账户密码) API种类齐全:41/30个可选的Microsoft Graph REST...API Beta中的API(未来可能会继续添加) 完全随机的API调用模式:从已选定的API序列中随机抽取一个或几个进行调用(个数和API随机) 完全随机的API调用时间间隔:随机区段1000s-2000s...ICP备案文字显示,可在国内备案建站 无人值守 运行自动暂停:可自动暂停有错误率过高的账号API调用 无人值守 自动恢复运行:可定期自动恢复全部账号的API调用,防止因微软网络原因触发大量账号停止API

    4.1K20

    一封“来自自己邮箱”的钓鱼邮件,如何绕过所有安全防线?微软揭示企业邮件配置盲区正成攻击温床

    技术实证:一封伪造邮件的“通关路径”微软在报告中披露了一封典型钓鱼邮件的头部信息:Authentication-Results: spf=fail (sender IP is 176.111.219.85...普通用户只看到前者,安全团队才能看到后者。“这种‘半真半假’的状态最具迷惑性,”芦笛指出,“它既不是明显垃圾邮件,又带有内部可信标识,员工很难分辨。”...但SPF记录仅包含本地服务器IP,未包含阿里云IP段。攻击者利用阿里云接口发送伪造邮件,成功绕过验证。另一起发生在华东的案例中,某电商平台的客服系统通过第三方SaaS平台自动发送订单通知。...第一步:全面绘制邮件流拓扑图列出所有邮件入口与出口路径,包括:外部MX记录指向何处?是否有第三方服务(反垃圾、归档、CRM)参与中继?内部应用是否通过API或SMTP直连发送通知?...Graph API或经认证的SMTP中继。

    19010

    诊断日志知多少 | DiagnosticSource 在.NET上的应用

    观察者订阅可观察对象,并且每当预定义的条件、事件或状态发生更改时,该可观察对象会通过调用其方法之一来自动通知所有观察者。 在此方法调用中,该可观察对象还可向观察者提供当前状态信息。...Activity中存储的上下文可以是HTTP请求路径,方法,用户代理或关联ID:所有重要信息都应与每个跟踪一起记录。...当应用程序调用外部依赖关系以完成操作时,它可能需要传递一些上下文(例如,关联ID)以及依赖关系调用,以便能够关联来自多个服务的日志。...其次,尝试从CorrelationContext中获取关联上下文信息,然后将其添加到创建的Activity的Baggage中,进行关联上下文的继续传递。...按照上面我们的耗时统计,只能统计到整个http请求的耗时,但对于我们定位问题来说还是有困难,比如,某个api即有调用redis,又操作了消息队列,同时又访问了数据库,那到底是那一段超时了呢?

    1.3K52

    基于OAuth滥用的定向钓鱼攻击与防御机制研究

    通过可执行代码示例,验证了OAuth授权监控与自动撤销机制的有效性。研究结论指出,仅依赖用户教育无法应对当前高度专业化、协议级的钓鱼威胁,必须从身份治理与协议使用规范层面重构企业安全边界。...用户被邀请“完善注册信息”或“提交演讲议题”,并提示“使用Google/Microsoft账号一键登录以简化流程”。...在Microsoft Entra ID中,可配置“用户同意设置”,禁止用户向未批准的应用授予权限:# PowerShell: 禁止用户同意所有应用Set-MgPolicyAuthorizationPolicy...delete类似地,Microsoft Graph API支持查询用户授予的同意记录:GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization...3.3 用户行为验证与安全缓冲区对于必须参与外部会议的员工,建议:使用专用邮箱(如events@company.com)进行注册,隔离主账户风险;手动访问会议官网(通过搜索引擎或官方社交媒体)而非点击邮件链接

    28310

    基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

    尤其值得注意的是,攻击者引入了“收件人特定验证”机制,仅当输入目标用户的精确邮箱地址后,才触发后续恶意跳转,极大削弱了安全团队使用蜜罐账户或通用测试账号进行主动探测的有效性。...在典型企业环境中,员工每日接收大量来自同事或合作伙伴的SharePoint共享链接,内容涵盖合同、报表、项目计划等敏感信息。...更关键的是,SharePoint支持动态生成临时共享链接,且可通过Microsoft Graph API进行程序化管理。...(如普通员工创建大量登录页面)以下Python脚本示例展示如何通过Microsoft Graph API审计可疑共享项:import requestsimport jsondef detect_suspicious_sharing...五、防御体系构建5.1 权限最小化原则禁用非必要用户的“外部共享”权限对文档库设置“仅组织内成员可访问”审计并清理长期有效的匿名共享链接5.2 条件访问策略强化在Azure AD中配置策略:禁止从非托管设备访问

    25710

    基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

    此过程实现了“Adversary-in-the-Middle”(AiTM)攻击,使攻击者能在用户完成完整认证流程的同时获取有效会话Cookie或Refresh Token。...设置邮件转发规则:通过Exchange Web Services (EWS) API创建隐藏的邮件转发规则,将含“Board Meeting”、“M&A”、“Q4 Forecast”等关键词的邮件自动转发至外部邮箱...搜索并下载敏感文档:利用Graph API遍历OneDrive与SharePoint中的文件夹,下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...OAuth授权记录,自动撤销非白名单应用的权限。...以下Python脚本利用Microsoft Graph API实现授权审计:import requestsdef audit_oauth_apps(user_token):headers = {"Authorization

    23310

    你打出去的“客服电话”,正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板,回拨型攻击席卷全球企业

    Microsoft Teams作为全球超3亿用户使用的协作平台,其通知邮件由微软官方域名 teams.mail.microsoft.com 发出,具备完整的SPF、DKIM、DMARC认证。...“这是微软安全中心工单#MS-2026-XXXX,请提供您的计算机名以便接入。”...更棘手的是,Teams通知属于企业日常协作的一部分。在Microsoft 365深度集成的环境中,员工每天可能收到数十条此类通知,早已形成“条件反射式信任”。...邮件层:增强Teams通知监控限制Teams外部邀请:在Microsoft 365管理中心配置策略,禁止非组织成员创建团队或邀请用户;监控异常团队命名:通过Microsoft Graph API定期扫描团队名称...,识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体;# 示例:通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups

    24310
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券