文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

当受害者点击邮件中的链接时,并非直接访问文件,而是被引导至一个由攻击者控制的中间人代理服务器。...“合法流量伪装”攻击时的局限性;最后,提出一套基于零信任原则的深度防御策略,包括细粒度的条件访问控制、FIDO2无密码认证的引入、以及基于用户实体行为分析(UEBA)的异常检测机制。...由于现代企业间的业务协作高度依赖云共享,这些被攻陷的账户通常拥有向外部域发送文件共享邀请的权限。一旦攻击者控制了合作伙伴账户,他们便获得了微软云环境的“合法居民”身份。...攻击者利用窃取的Cookie登录时,其IP地址、User-Agent可能与受害者日常习惯略有不同,但如果缺乏智能化的行为分析模型,这些细微的异常很容易被忽略。...内容敏感度分析:通过文件名关键词匹配,识别涉及财务、人事等敏感数据的共享行为。当综合风险评分超过阈值时,系统生成告警。

11810

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

文章提供可落地的代码示例,涵盖共享活动日志分析、二次跳转检测及条件访问策略配置逻辑,旨在为防御此类高隐蔽性云钓鱼提供工程化参考。...由于初始链接为1drv.ms或sharepoint.com,属于微软官方域名,必然通过检查。而二次跳转发生在用户交互之后,无法被邮件层扫描捕获。...建议策略包括:设备合规性要求:仅允许混合Azure AD加入或Intune标记为合规的设备访问敏感应用;地理位置限制:阻止来自高风险国家/地区的登录;匿名IP阻断:自动拒绝Tor或已知代理IP的请求。...以下为通过Microsoft Graph API创建条件访问策略的示例:policy = {"displayName": "Block risky logins to SharePoint","state...即使用户被诱导至仿冒页面,浏览器不会提示签名,攻击者无法获取有效凭证。更重要的是,无密码认证不产生可被代理复用的会话Cookie,从根本上消除AiTM的攻击面。

34310
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    针对Office 365的同形异义字欺骗与AiTM攻击研究

    请求转发:当受害者点击链接并访问伪造站点时,代理服务器在后台实时向真实的login.microsoftonline.com发起请求,并将微软的登录页面镜像返回给受害者。...else:print(f"[失败] 访问被拒绝,状态码: {response.status_code}")print("可能原因:Cookie已过期、IP异常触发风险策略或绑定设备ID。")...此外,攻击者利用短链接和多重跳转技术,使得网关在扫描时看到的可能是合法的重定向目标,而用户最终到达的却是伪造站点。...实施逻辑:设备合规性检查:配置CA策略,要求所有访问Exchange Online、SharePoint等应用的用户必须使用标记为“合规”的设备。...当用户在伪造域名(即使是同形异义字域名)上尝试认证时,浏览器传递给安全密钥的源信息与真实域名不匹配,密钥将拒绝签名。

    8610

    OpenAI推出企业级SharePoint连接器,挑战Microsoft 365 Copilot

    访问通过针对Entra ID的OAuth认证授予,并且仅限于用户可访问的信息,就像任何其他使用Graph API与SharePoint Online和OneDrive for Business交互的应用一样...根据OpenAI的说法,新文件或对SharePoint文件的更新在一小时内即可在ChatGPT中使用。文件访问受"SharePoint和ChatGPT之间的严格电子邮件域名匹配"控制。...用户的SharePoint账户必须与其ChatGPT账户电子邮件匹配。"我猜这意味着用户主体名称必须与创建ChatGPT账户时使用的电子邮件地址匹配,ChatGPT才允许访问同步的文件。...SharePoint连接器总体而言,新版本的ChatGPT连接器似乎使用应用程序权限(如Sites.Read.All和Files.Read.All)来访问SharePoint和OneDrive内容并将其同步到...自Microsoft 365 Copilot推出以来,一个显而易见的问题是Microsoft 365租户在SharePoint Online中存储了一些完全无用的内容。

    18010

    IC设计中值得解决的小问题(六)

    使用 meld 执行 svn diff meld 是个不错的图形界面的比较合并工具。而常用的版本控制软件 svn 默认的版本比较工具相对简单,遇到复杂的比较场景时就不那么直观了。...或者修改 svn 的配置文件,可以在每次执行svn diff都默认使用 meld。...其中一个就在于 SharePoint 的文档链接太长,当需要阅读、处理的多个文档散落于不同团队的站点时,寻找起来十分困难。...被微软多年培养使用习惯,熟练掌握 Windows 文件夹的我们,可以很方便的利用本地文件夹去访问 SharePoint 上的各种文档。 具体设置方式不再赘述,参照下图。...在各个文件夹下读写文档,会自动同步到对应的 SharePoint 站点。 微软全家桶还是蛮香的:) 最近朋友圈有人推荐了一本《软技能2》。

    1K20

    基于视觉欺骗与动态跳转的现代钓鱼URL检测机制研究

    url=https://attacker[.]xyz/phish→ https://attacker[.]xyz/phish/login.html传统邮件网关在解析bit.ly链接时,仅能获取其指向legit-shop.com...2.4 可信云服务作为首跳中继Tycoon等平台大量使用Google Forms、Microsoft SharePoint、Notion等协作工具生成表单或页面,将其作为钓鱼入口。...由于这些服务域名(如docs.google.com、sharepoint.com)普遍被列入白名单,邮件安全系统难以拦截。...然而,攻击者大量使用新注册域名或劫持合法子域,使信誉模型失效。上述方法在面对2.1–2.5节所述技术时,普遍存在“静态看不清、动态跑不到、规则跟不上”的问题。...通过引入自然语言处理、前端扩展干预与上下文访问控制,可显著压缩攻击者的欺骗空间。未来工作将探索大语言模型在URL语义异常检测中的应用,但需警惕模型自身被用于生成更逼真的钓鱼文本。

    35010

    SharePoint托管工作台实现Rest接口

    SharePoint本地工作台跟托管工作台 先说结论:SharePoint本地工作台是测试基本的功能能不能用,而托管工作台适用于复杂的功能,尤其是需要用到SharePoint站点里面的数据的情况的....SharePoint 托管工作台在真实的 SharePoint 环境中运行,这意味着组件可以使用 SharePoint API,包括 SharePoint REST API。...复制代码 这样就启动了本地工作台 如果我说如果没有启动但会打开浏览器的话(几率很低,是因为你的端口占用 我的数据库的端口5432恰好与SharePoint启动端口一致遇到过这个问题 只需要改config...文件就可以解决) 本地工作台效果 2.如何启动托管工作台 启动托管工作台的方式有两种,但还是要跟之前的步骤一样只不过确保输入您有权访问的 SharePoint Online 网站集的正确 URL gulp...它将使用spHttpClient对象来查询SharePoint REST API。

    2.9K10

    “Zipline”鱼叉式钓鱼行动的技术机制与企业防御体系研究

    摘要本文系统分析了2025年曝光的“Zipline”高级持续性鱼叉式钓鱼(Spear Phishing)行动。...3 现有防御机制失效原因3.1 域名信誉机制被合法服务绕过OneDrive、SharePoint、Dropbox等域名长期位于企业白名单,邮件安全网关(如Mimecast、Proofpoint)默认放行其链接...传统基于哈希、域名、IP的IOC在攻击结束后才被收录,防御窗口极短。...3.3 沙箱环境被主动识别如前所述,攻击载荷通过User-Agent、屏幕分辨率、JavaScript API可用性(如WebGL、Battery API)识别自动化环境。...全面推广FIDO2安全密钥或Passkey:凭据绑定RP ID(如login.microsoftonline.com),钓鱼站点无法获取有效断言;即使用户误输入,攻击者也无法重放。

    23910

    微软增强云透明性与安全控制的技术革新

    通过Office 365 Management Activity API,客户与合作伙伴可将安全与合规信号集成至监控、分析与合规管理解决方案中。...该API能提供对内容操作的高可见性,例如潜在安全威胁警报与合规问题。精选合作伙伴已通过预览计划构建早期解决方案,预计夏季开放私有预览。感兴趣者可注册预览计划。2....Customer Lockbox for Office 365微软设计了高度自动化的Office 365服务,但在极少数需工程师登录解决问题的场景中,将引入客户审批流程。...客户可直接批准或拒绝微软工程师的登录请求,大幅提升透明性与内容控制权。详情参见Office 365博客。3....2016年将支持客户自控加密密钥,终止服务时微软将无法访问密钥以确保数据不可用。2. Azure Key Vault集成自2015年1月发布预览以来,Azure Key Vault获广泛关注。

    17510

    基于SVG脚本注入的M365钓鱼攻击机制与防御体系研究

    本文系统分析Tykit的技术架构、传播路径与社会工程策略,揭示其在端点检测与响应(EDR)、邮件过滤及身份认证层面的突破逻辑。...现有M365安全控制(如条件访问、MFA)在面对此类攻击时存在哪些盲区?如何构建技术与管理协同的防御体系以阻断攻击链?...2.4 横向移动阶段获取M365凭据后,攻击者立即尝试:登录Outlook Web Access读取邮件;访问SharePoint下载敏感文档;利用Exchange Web Services(EWS)发送新一轮钓鱼邮件...3 技术实现细节与规避机制分析3.1 SVG脚本执行环境尽管现代浏览器(如Chrome、Edge)在直接打开本地SVG文件时默认禁用脚本,但在以下场景仍可能执行:用户使用旧版浏览器(如IE11,仍支持SVG...用户看到的URL虽为伪造域名,但页面内容、TLS证书(由Let’s Encrypt签发)均与真实站点一致,极大提升欺骗性。

    27410

    迁移TFS,批量将文档导入SharePoint 2013 文档库

    一、需求分析 公司需要将存在于旧系统(TFS)所有的文档迁移至新系统(SharePoint 2013)。现已经将50G以上的文档拷贝到SharePoint 2013 Server上。...了解了文档内容和命名规则后,接下来就是分析怎样导入至SharePoint文档库中: 首先,每一个二级文件夹的命名是有规则的,正好是项目编号(Project Number),如GCP-xxxx-xxx-xxx...值得一提的是,根据编号创建的子站点并不是随意创建的,而是需要考虑究竟要在哪一个Site Collection下创建子站点,并且还要给予独立权限的分配,即为子站点打断权限继承,为其增加两个组(Owners...所以接下来,需要获取指定目录下所有的文件,我使用了一个队列来保存文件路径,而不是使用递归或者使用.NET 4.0提供的基于文件迭代的功能(Directory.EnumerateFiles)来获取所有文件...,原因有2点: Directory.EnumerateFiles内置的递归方法容易抛出异常,比如没有权限访问等。

    2.2K100

    Power Query 真经 - 第 9 章 - 批量合并文件

    列 包含 内容 对实际文件内容的引用 文件名称 给定文件的名称 扩展名 文件类型 访问日期 文件最后一次被访问的日期 修改日期 文件最后修改的日期 创建日期 文件创建的日期 属性 包含文件大小、可见性状态等项的记录...如果 SharePoint 是由 IT 部门托管,用户甚至都不需要登录就可以匿名访问。当然,如果这不起作用,则需要使用 Windows 凭据登录。...要连接到这些文件,仍然要使用从 SharePoint 文件夹连接器,但要输入 https://(没有尾部的文件夹)的 URL。请注意,这并不会枚举各站点的内部数据。...这意味着,用户在连接 OneDrive for Business 的文件夹时,与连接 SharePoint 站点时有相同的选择:通过【来自文件】选项(如果它同步到用户的桌面),或通过【来自 SharePoint...在仔细观察数据时,被提升标题的那一行似乎并没有什么价值,接下来的五行数据也是如此。用户想要的列标题实际上包含在文件的第七行中(假设第一行没有被提升为标题)。按如下解决这个问题。

    7.6K40

    基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

    更关键的是,SharePoint支持动态生成临时共享链接,且可通过Microsoft Graph API进行程序化管理。...攻击者一旦获取低权限账户(如通过撞库或泄露凭证),即可创建看似合法的共享项,并设置短时效访问控制,进一步规避基于长期URL监控的威胁情报系统。...3.2 动态钓鱼页面托管点击链接后,用户并非直接进入文档预览页,而是被重定向至一个由攻击者上传至SharePoint文档库的HTML文件。...此举有效阻止安全研究人员使用非目标邮箱进行探测。3.3 伪造MFA交互用户提交邮箱后,被重定向至mfa.html,页面模拟微软标准的“发送验证码”流程:获取用户会话令牌,实现无密码持久化访问。四、检测模型构建针对上述攻击链,需建立多维度检测机制。

    26110

    利用邮件安全网关信任机制的供应链钓鱼攻击分析与防御重构

    DocuSign与Microsoft SharePoint作为该领域的标杆产品,其品牌信誉被广泛用于商务沟通中。然而,这也使其成为网络钓鱼攻击者首选的伪装对象。...传统的钓鱼攻击通常依赖于伪造发件人域名或托管明显的恶意链接,这类手段在面对现代化的邮件安全网关(Secure Email Gateway, SEG)时,往往能被基于 reputation(信誉)、SPF...当安全基础设施本身被用作攻击跳板时,基于边界的静态防御模型便显得捉襟见肘。...他们精心构造的恶意链接在邮件投递瞬间可能尚未被标记为恶意(例如使用新注册的域名或利用了合法的云存储桶进行初始托管),从而顺利通过了网关的初次扫描并被重写。...邮件日志记录了原始链接被重写为网关链接的过程,而Web代理日志则记录了用户访问网关链接的行为。

    14310

    【漏洞通告】微软9月安全更新多个产品高危漏洞通告

    攻击者可通过诱导用户打开特制图像文件来利用此漏洞,成功利用此漏洞的攻击者可获取信息从而进一步入侵受影响的系统。...攻击者通过构造特制的文件并诱使用户打开来利用此漏洞,成功利用此漏洞的攻击者可控制受影响的系统。...经过身份验证的攻击者可通过在受影响的Microsoft SharePoint 服务器上创建并调用特制页面来利用此漏洞,成功利用此漏洞的攻击者可使用特制页面在SharePoint应用程序池进程的上下文中执行任意代码...Microsoft SharePoint某些API在处理不安全的数据输入时,存在远程代码执行漏洞(CVE-2020-1595)。...攻击者可通过使用特定格式的输入访问受影响版本SharePoint 上易受攻击的 API来利用此漏洞,成功利用此漏洞的攻击者可在目标 SharePoint应用程序池和SharePoint服务器账户的上下文中执行任意代码

    2.5K20

    真假难辨的“微软登录页”:IDN同形攻击+零宽字符,钓鱼者正用视觉魔术绕过MFA防线

    发件人地址经过精心伪装——有时是伪造的内部邮箱(如 mailto:finance@yourcompany.com),有时则干脆使用合法但被接管的第三方域名。...点击后,用户并未跳转至真实的OneDrive或SharePoint页面,而是被重定向到一个高度仿真的微软登录界面。...美国汽车零部件制造商AutoForge数据泄露(2025年12月)钓鱼邮件伪装成SharePoint协作邀请,使用含零宽字符的URL:https://login.micros‌oftonline.com...安全团队的日志分析系统因未做Unicode标准化,未能识别异常域名。最终导致研发部门的CAD图纸被批量下载。...:Block access如此,即使攻击者拿到会话Cookie,若其设备未注册或不符合安全策略,仍将被拒绝访问。

    18810

    微软预警能源行业多阶段AitM钓鱼及BEC攻击活动

    攻击的初始入口为钓鱼邮件,此类邮件通常来自事先被入侵的可信机构邮箱——攻击者借助这一合法渠道,伪装成SharePoint文档共享流程发送信息,凭借虚假可信度诱使收件人点击钓鱼链接。...攻击技术特点:滥用可信站点规避检测由于SharePoint、OneDrive等服务在企业环境中应用广泛,且邮件源自合法地址,此类攻击不易引发怀疑,便于攻击者投递钓鱼链接或植入恶意载荷。...攻击者通过窃取的账号凭证及会话Cookie获取账号访问权限后,会创建收件箱规则:删除所有 incoming邮件、将全部邮件标记为已读。...该工具包以服务形式售卖,内置客户端脚本,使攻击者能在与用户通话时,实时控制目标浏览器的认证流程——通过口头指导诱使用户执行操作(如批准推送通知、输入一次性密码),最终绕过MFA验证。...欢迎关注我们的谷歌新闻、推特及领英账号,获取更多独家内容。

    9610

    2026年1月安全更新深度剖析:微软修复逾百漏洞,包含一处在野利用

    可以推测,威胁行为者随后会在其漏洞利用链的下一阶段使用该地址——很可能是获取任意代码执行权限。这表明内存泄漏如何变得与代码执行漏洞同等重要,因为它们使远程代码执行变得可靠。...再次说明,此CVE被利用的可能性很低。然而,此CVE被忽略且使用安全启动的设备无法收到补丁的可能性非常高。此外,这被列为公开已知,但这仅仅意味着微软几个月前就发布了相关信息。...虽然我们仍未知悉这些漏洞有任何被利用的迹象,但它们不断累积。威胁行为者找到利用这类漏洞的方法只是时间问题。...如果你担心这些问题,可以采取额外的预防措施,禁用预览窗格,这至少可以在没有用户交互的情况下防止漏洞被利用。...SharePoint漏洞需要身份验证,但几乎所有经过身份验证的用户都拥有所需的权限。有一个有趣的SharePoint漏洞是由前ZDI分析师Piotr Bazydło报告的。

    12810

    Windows 商店应用中使用 SharePoint REST API

    前面一篇我们介绍了 Office 365 REST API 的官方工具的使用,本篇我们来看一下 SharePoint REST API 本身的描述、结构和使用方法,以及一些使用经验。...而针对远程 Web 或移动应用,必须先获得访问权限,才能使用 SharePoint 数据资源。      ...在 REST API 出现之前,我们需要通过 client.svc 这个 WCF 服务来请求 SharePoint 的列表数据,而且仅限于获取数据。数据的修改并没有在这个服务中体现。...当需要向列表中插入新项时,我们需要使用列表项集合 API,使用 POST 方法插入数据。而需要修改列表中某一项时,则需要使用指定列表项 API,使用 MERGE 方法来更新数据。       ...还有针对日期和时间的比较符,见表中解释。        最后还涉及到一个授权的问题,如前面所说,远程访问都需要先授权才能访问资源。我们可以通过 OAuth 授权的方式来完成应用授权和身份验证。

    6.8K150

    为什么说Web开发和Vue.js是如此的有趣?

    她说:“你知道…SharePoint支持REST服务。”啊,是的!我可以在SharePoint上使用Ajax,并根据响应情况建立我的HTML。这将是超级有趣的!...在做了教程和观看关于这个主题的辩论之后,我拒绝使用框架。毕竟,使用一个框架意味着每个人都必须变得聪明起来。然而,研究框架的过程中,我碰到Handlebars,模板引擎使用的Ember。...所以,我就想回去研究一下可用的框架。有这么多好的框架可选,但我们有一个独特的环境。我们不能使用node。没有NPM,没有工具被大量使用在每一个框架。...使用一些花括号,我可以根据JavaScript访问的变量将值插入到提交内容中。通过模板的使用等于提供了一个路径,Vue.js DOM和组件模板更容易被使用。...我们可以使用CSS和视觉上有吸引力的站点的一点天赋,来改善我们作为开发者在我们的老板和用户中的印象。

    2.8K10
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券