使用访问令牌通过Microsoft Graph API与OneDrive交互 - 腾讯云开发者社区

文章/答案/技术大牛

发布

微软揭露针对以色列的 POLONIUM 组织攻击活动

dha 尽管 OneDrive 会对所有上传的文件进行扫描，但 POLONIUM 并未使用 OneDrive 存储恶意软件，只是与合法用户相同的方式与云服务进行交互。 ...该请求是为恶意样本提供必要的 OAuth Token，以实现对 OneDrive 的交互。...使用该 OAuth Token 就可以向 Microsoft Graph API 请求（https://graph.microsoft.com/v1.0/me/drive/root:/Documents...通过 OneDrive 下载文件，请求结构为https://graph.microsoft.com/v1.0/me/drive/root:/Downloaded/???:/content。...△CreepySnail PowerShell 代码公共工具的使用 POLONIUM 通过 OneDrive 下载了一个辅助程序 plink，这是一种常见的自动化交互式 SSH 工具。

1.6K2 0

PwnAuth——一个可以揭露OAuth滥用的利器

API——资源客户端希望访问的目标应用程序。在本例中，Microsoft OneDrive API 终端是资源。资源拥有者允许访问其部分帐户的人员。在本例中，就是你。...服务器可以与API资源相同，或者是另一个不同的组件。在本例中，Microsoft登录门户是“授权服务器”。范围范围定义为第三方应用程序请求的访问类型。...攻击者可能会创建恶意应用程序，并使用获取的访问令牌通过API资源获取受害者的帐户数据。访问令牌不需要知道用户的密码，并能绕过双因素认证。...Web应用程序为渗透测试人员提供了一个易于使用的UI，管理恶意OAuth应用程序、存储收集的OAuth令牌以及与API资源进行交互。...虽然任何允许OAuth应用程序的云环境都可以成为目标，但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序，捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API

2.4K2 0

您找到你想要的搜索结果了吗？

是的

没有找到

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...一旦用户授权，即使账户启用了MFA，攻击者仍可通过令牌直接访问资源。3 攻击技术路径分析3.1 恶意OAuth应用注册与伪装攻击者首先在Microsoft Entra ID公共租户中注册一个新应用。...3.3 令牌获取与持久化访问用户点击“同意”后，Microsoft将授权码发送至redirect_uri。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...4.3 刷新令牌生命周期过长在未启用条件访问（Conditional Access）的情况下，刷新令牌有效期可达90天。即使用户更改密码，旧令牌仍有效，导致凭证轮换失效。

1921 0

onedrive for business使用python上传文件

API 终结点 URL OneDrive for Business 资源的访问令牌在当前令牌到期时生成其他访问令牌的刷新令牌。...onedrive for business使用的是标准的Oauth2流程，所以大概流程就是先获取code，使用code交换access_token，然后就可以调用api了，这里先贴出获取code以及交换...refresh_token': token['refresh_token'], 'grant_type': 'refresh_token', 'resource': 'https://graph.microsoft.com...r.status_code not in [200, 201, 202]: print("上传出错") break 遇到的几个坑终结点是https://graph.microsoft.com...onedrive的请求api是https://graph.microsoft.com/v1.0/me/drive，但是文档中以及网上教程写的是https://graph.microsoft.com/me

5.2K5 0

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

2025年披露的一起新型攻击事件显示，攻击者利用Microsoft OneDrive作为主要传播媒介，通过伪造人力资源部门关于薪酬调整或股权授予的通知邮件，诱导目标点击嵌入的共享链接。...该链接表面指向一个常规文档，实则加载伪装成Microsoft 365登录界面的钓鱼页面，并在用户输入凭证后实时中继多因素认证（MFA）请求，实现凭证与会话令牌的双重窃取。...搜索并下载敏感文档：利用Graph API遍历OneDrive与SharePoint中的文件夹，下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...此后，即使原始凭证被重置，攻击者仍可通过OAuth令牌维持API级访问，实现长期潜伏。...以下Python脚本利用Microsoft Graph API实现授权审计：import requestsdef audit_oauth_apps(user_token):headers = {"Authorization

1821 0

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

关键词：OneDrive钓鱼；云跳板攻击；中间人代理；条件访问；CASB；会话连续性；无密码认证1 引言在企业全面拥抱云协作的时代，Microsoft 365生态中的OneDrive与SharePoint...此类攻击的核心在于“信任传递”：第一跳使用微软官方域名，确保邮件顺利投递；第二跳则隐藏于用户交互之后，逃避静态URL扫描。...4 防御体系构建4.1 启用基于上下文的条件访问策略Azure AD条件访问可限制高风险会话的令牌颁发。...以下为通过Microsoft Graph API创建条件访问策略的示例：policy = {"displayName": "Block risky logins to SharePoint","state...通过构建会话图谱（Session Graph），将文件访问、登录、API调用等事件关联，可有效识别异常跳转链。例如，若某会话在访问1drv.ms后5秒内出现在非微软域名的登录页，则极可能为钓鱼。

2201 0

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

；设备凭此Token访问API资源。...# 攻击者侧：使用Microsoft Graph API发起设备代码请求（简化示例）import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后，攻击者即可调用Microsoft Graph API，读取邮件、日历、OneDrive文件、Teams消息，甚至发送新邮件冒充受害者——全程无需知道密码...、访谈或合作项目，制造紧迫感与合理性；链接指向高度仿真的OneDrive页面，连URL都通过Cloudflare Worker动态生成，规避静态检测。...邮件安全网关：钓鱼邮件来自真实邮箱，内容无恶意附件或链接（指向的是微软官方域名），难以拦截；MFA：用户确实在微软官网完成了交互式登录，MFA已通过；SIEM/SOAR：后续的API调用（如读取邮件）来自微软数据中心

1121 0

鼠标悬停也能中招！带毒PPT正用来传播Graphite恶意软件

据Bleeping Computer网站消息，俄罗斯黑客已经开始使用一种新的代码执行技术，该技术依赖于 Microsoft PowerPoint 演示文稿（PPT）中的鼠标移动来触发恶意 PowerShell...攻击者使用PPT 文件引诱目标，内容据称与经济合作与发展组织 (OECD) 相关，该组织是一个致力于刺激全球经济进步和贸易的政府间组织。...Graphite 滥用 Microsoft Graph API 和 OneDrive ，与命令和控制 (C2) 服务器通信。...攻击者通过使用固定客户端 ID 访问服务以获取有效的 OAuth2 令牌。...【Graphite 使用的固定客户端 ID】研究人员解释说，使用新的 OAuth2 令牌，Graphite 通过枚举 check OneDrive 子目录中的子文件来查询 Microsoft GraphAPI

1.5K2 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

在此过程中，攻击者不仅捕获用户名与密码，更重要的是截获认证成功后返回的会话Cookie、OAuth 2.0访问令牌及刷新令牌（Refresh Token），从而实现无需凭证重放的持久化账户访问。...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...攻击者利用这些令牌可直接通过API访问用户邮箱、OneDrive文件、Teams聊天记录等，完全绕过前端UI与MFA提示。...例如，若受害者通常使用Windows 11 + Chrome 124访问Office 365，攻击者将配置代理以相同特征发起API请求，使登录活动在审计日志中呈现为“正常行为”。...Microsoft Graph提供/revokeSignInSessions API，可编程终止可疑会话：import requestsdef revoke_suspicious_sessions(user_id

2121 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

一旦授权成功，即使用户更改密码或启用MFA，攻击者仍可通过已授权的应用持续访问邮箱、日历、文件等敏感资源。...攻击者随即用该授权码向/token端点交换访问令牌与刷新令牌：POST https://login.microsoftonline.com/common/oauth2/v2.0/tokenContent-Type...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1511 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...一旦同意，攻击者即获得授权码，兑换为访问令牌（access token）与长期有效的刷新令牌，从而无需再次触发MFA即可持续访问用户邮箱与文件。...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中，第三方应用若需访问用户资源（如邮件、日历），必须通过OAuth 2.0授权码流程获取权限。...；应用使用令牌调用Microsoft Graph API。...可通过Microsoft Graph API动态评估权限风险：HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All

2211 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

此类攻击具备高度隐蔽性：因全程使用标准OAuth流程，流量特征与正常业务无异；且一旦授权成功，攻击者可绕过MFA持续访问邮箱、日历、OneDrive等敏感资源，甚至利用被控账户横向扩散。...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...输入凭证并通过MFA后，进入授权确认页面。由于应用名称与图标可自定义，且权限描述使用通用术语（如“读取您的邮件以提供服务”），用户极易误判为合法请求。...攻击者可将此参数嵌入隐藏iframe，当用户访问恶意页面时，若其浏览器仍持有有效会话，则自动完成授权，完全规避用户交互。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers

2601 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

“您的 OneDrive 存储即将锁定，请验证设备以继续使用。”...授权完成后，攻击者的服务器立即通过 OAuth 2.0 的 /token 端点兑换访问令牌和刷新令牌（Refresh Token），从而获得对受害者邮箱、日历、文件等资源的长期访问权——全程无需知道密码...更危险的是，一旦获得 Refresh Token，攻击者可长期维持访问，即使用户更改密码也无效——因为 OAuth 令牌独立于密码体系。...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近...Proofpoint 发现，部分攻击甚至持续数周未被发现——因为所有操作都通过合法 API 进行，IP 地址来自正常办公区域（攻击者使用代理或已控跳板机），行为模式与日常办公高度相似。

1161 0

OpenAI推出企业级SharePoint连接器，挑战Microsoft 365 Copilot

这一举措通过提供与Microsoft 365 Copilot类似的能力，即对存储在SharePoint Online和OneDrive for Business中的文件进行推理分析，直接向Microsoft...访问通过针对Entra ID的OAuth认证授予，并且仅限于用户可访问的信息，就像任何其他使用Graph API与SharePoint Online和OneDrive for Business交互的应用一样...我猜这意味着用户主体名称必须与创建ChatGPT账户时使用的电子邮件地址匹配，ChatGPT才允许访问同步的文件。...SharePoint连接器总体而言，新版本的ChatGPT连接器似乎使用应用程序权限（如Sites.Read.All和Files.Read.All）来访问SharePoint和OneDrive内容并将其同步到...使用Graph权限读取SharePoint的应用示例可在此处找到。

1531 0

云邮箱钓鱼攻击趋势与企业防御体系重构

值得注意的是，攻击成功后的横向移动成本极低——一旦获取有效会话令牌或MFA绕过权限，攻击者可直接访问企业通讯录、日历、OneDrive/Google Drive文件乃至财务审批流程，造成数据泄露、商业欺诈甚至供应链污染...此类攻击尤其针对财务、HR等高频使用审批系统的部门。2.3 身份层突破：从凭证窃取到会话劫持传统钓鱼目标为用户名与密码，但在MFA普及背景下，攻击者转向更高效的会话令牌窃取。...典型流程如下：用户在钓鱼页面输入凭据；攻击脚本实时将凭据转发至真实登录接口，完成身份验证；获取有效的会话Cookie或OAuth 2.0访问令牌；直接注入浏览器或API调用，绕过MFA校验。...关键措施包括：自动化会话吊销：通过API批量注销用户所有活动会话；凭据紧急重置：强制更改密码并撤销刷新令牌；行为回溯：利用审计日志定位首次异常活动时间点。...Microsoft Graph API吊销会话示例：import requestsdef revoke_user_sessions(user_id, access_token):url = f"https

1811 0

基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

整个过程符合用户对M365交互的预期，几乎不触发怀疑。...2 攻击链技术剖析2.1 情境化诱饵构造攻击者精心选择三类高频场景作为诱饵：存储配额警告：“您的OneDrive存储空间已使用95%”；密码策略提醒：“您的密码将在24小时内过期，请立即更新”；文档协作请求...这些内容均来自M365真实通知模板，且常通过移动端推送（如Outlook App通知）增强紧迫感。邮件HTML中嵌入真实Microsoft Logo与CSS样式，提升视觉可信度。...获得有效会话后，攻击者通过Graph API注册恶意OAuth应用：POST https://graph.microsoft.com/v1.0/applicationsContent-Type: application...有效的应对必须从架构层面重构：通过条件访问限制风险上下文，通过阻断遗留协议消除弱认证入口，通过OAuth审批控制第三方应用权限，并通过统一日志实现行为闭环监控。

2011 0

伪装成“熟人”的邮件，藏着国家级黑客的陷阱——Callisto组织鱼叉式钓鱼新动向敲响全球媒体安全警钟

常用词汇甚至时区习惯；利用可信邮件服务商：早期多用Gmail，近年转向ProtonMail、Tutanota等注重隐私的加密邮箱，以规避基于发件域信誉的过滤规则；“零附件”策略：避免触发沙箱分析，转而通过后续交互投递载荷...“Jean Dupont”改为“Jean.Dupont.pro”）；诱导阶段：发送无害邮件，仅提出模糊请求，等待目标回复；投递阶段：一旦收到回复，立即发送伪造的OneDrive共享链接，指向一个克隆的Microsoft...以Microsoft 365为例，用户登录后，服务器会颁发一个短期有效的访问令牌（Access Token）和一个长期刷新令牌（Refresh Token）。...只要持有这些令牌，攻击者无需再次输入密码或MFA验证码，即可直接访问邮箱、OneDrive等服务。...等关键令牌；使用这些令牌通过Graph API直接操作用户数据。

1791 0

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

一、一场“巧合”的攻击暴露了更危险的趋势2025年10月，一家位于德国的能源企业安全团队在例行日志审计中发现异常：多个高管账户在凌晨时段调用了Microsoft Graph API，读取了大量内部邮件和...其核心逻辑是：让用户在有输入能力的设备（如手机）上完成授权，从而让受限设备获得访问令牌。...一旦确认，攻击者的轮询脚本立即获得Access Token，并可调用任意Graph API权限。...API创建新账户；通过Exchange Online PowerShell执行邮箱导出；部署Cobalt Strike Beacon，最终投放勒索软件。...使用（如非常规地理位置、高频API调用）；使用Microsoft Defender for Cloud Apps设置异常活动告警，如“单用户1小时内下载10GB OneDrive数据”。

1241 0

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

研究发现，此类攻击普遍利用合法协作平台（如Microsoft 365、Google Workspace）作为初始入口，并通过OAuth滥用或会话令牌窃取绕过多因素认证。...（2.4）横向移动与持久化获取邮箱访问权后，攻击者常利用“自动转发规则”窃取未来邮件，或通过Graph API读取联系人、会议记录，为下一轮攻击提供情报。...部分幕僚甚至使用个人邮箱处理公务，扩大攻击面。（3.2）高外部交互需求议员需频繁与选民、媒体、利益团体沟通，无法像封闭部门那样限制外部邮件。攻击者正是利用这一“开放性”植入诱饵。...（UEBA）基线通过分析议员正常行为模式（如常用登录地点、邮件收发时段、协作平台使用频率），检测异常：若某议员账户在凌晨3点从境外IP访问并创建邮件转发规则，触发告警；若短时间内向大量非联系人发送含附件邮件...（5.1）系统架构前端：Outlook插件，提供举报按钮与可疑链接预览；中台：基于Microsoft Graph API的行为分析引擎；后台：条件访问策略管理与OAuth授权审计模块。

1561 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

攻击者通过伪造IT部门通知、安全警报或软件更新提示，诱使用户访问看似合法的指令页面，并要求其在https://microsoft.com/devicelogin 输入一串六位字母数字组合的设备代码。...如https://microsoft.com/devicelogin），输入user_code；授权服务器验证用户身份（通常包括MFA）后，将授权授予客户端；客户端通过轮询使用device_code换取访问令牌...一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...MFA；攻击者轮询令牌端点，成功获取access_token与refresh_token；利用令牌调用Microsoft Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json

1191 0

点击加载更多

微软揭露针对以色列的 POLONIUM 组织攻击活动

PwnAuth——一个可以揭露OAuth滥用的利器

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

onedrive for business使用python上传文件

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

鼠标悬停也能中招！带毒PPT正用来传播Graphite恶意软件

VoidProxy平台对多因素认证的绕过机制与防御对策研究

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

高级OAuth钓鱼攻击的演化机制与防御体系构建

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

OpenAI推出企业级SharePoint连接器，挑战Microsoft 365 Copilot

云邮箱钓鱼攻击趋势与企业防御体系重构

基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

伪装成“熟人”的邮件，藏着国家级黑客的陷阱——Callisto组织鱼叉式钓鱼新动向敲响全球媒体安全警钟

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐