使用MS Graph Api启用多因素身份验证 - 腾讯云开发者社区

文章/答案/技术大牛

发布

RaccoonO365开发者落网背后：一场钓鱼即服务（PaaS）产业链的崩塌与重生

（2）会话Cookie窃取：MFA的“阿喀琉斯之踵”即便企业启用了多因素认证（MFA），RaccoonO365仍可通过窃取浏览器中的持久化会话Cookie实现账户接管。...其前端JavaScript会尝试读取以下关键Cookie：x-ms-gateway-sso：用于Azure AD无缝单点登录ESTSAUTHPERSISTENT：长期有效的身份验证令牌// RaccoonO365...这种转变的背后，是多重因素叠加：本地IT教育普及：尼日利亚拥有非洲最多的计算机专业毕业生，但高技能岗位稀缺；全球基础设施开放：Cloudflare、Vercel、Telegram Bot API等免费或低成本服务...管理员可通过Microsoft Entra ID策略强制高风险用户使用FIDO2：# 使用Microsoft Graph PowerShell SDK启用FIDO2策略Connect-MgGraph -...CAE需满足两个前提：使用支持CAE的应用（如Outlook、Teams新版客户端）；在Entra ID中启用“安全默认值”或自定义条件访问策略。

961 0

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

一旦得手，攻击者可立即利用Graph API遍历收件箱，提取包含财务、合同、人事等关键词的邮件线程，自动生成极具欺骗性的横向钓鱼内容，形成指数级扩散。面对此类攻击，仅依赖邮件层防护已显不足。...组织需重新审视身份验证与会话管理的安全边界，从“单点链接信誉”转向“端到端会话行为连续性”检测。...适用于未启用MFA的账户。（2）AiTM反向代理：如前文所述，动态代理真实登录流程，同步截获MFA后的会话Cookie。适用于已启用MFA的高价值目标。...以下为通过Microsoft Graph API创建条件访问策略的示例：policy = {"displayName": "Block risky logins to SharePoint","state...通过构建会话图谱（Session Graph），将文件访问、登录、API调用等事件关联，可有效识别异常跳转链。例如，若某会话在访问1drv.ms后5秒内出现在非微软域名的登录页，则极可能为钓鱼。

2231 0

您找到你想要的搜索结果了吗？

是的

没有找到

基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

2.2 MFA 绕过机制：推送疲劳与条件反射现代企业普遍部署多因素认证，但某些 MFA 类型存在固有弱点。...4.1 预防层：强化身份验证策略首要措施是优化 MFA 配置，避免使用易被社会工程绕过的验证方式。...禁用推送批准：强制使用 FIDO2 安全密钥或一次性验证码（OTP）；启用条件访问策略：基于登录风险动态要求更强验证。...可通过 Microsoft Graph Security API 实时监控高风险活动。...此外，通过 Graph API 监控，我们成功捕获了所有模拟的“不可能旅行”与“异常数据访问”事件，验证了检测机制的有效性。

1720 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

更令人不安的是，这种攻击对多因素认证（MFA）几乎免疫——即使你启用了短信或 Authenticator 验证，只要在微软官网输入了那串“设备代码”，攻击者就能绕过所有防线，直接获取访问令牌（Access..."❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近10封邮件...API。”...多因素认证（MFA）曾被视为钓鱼防御的“金钟罩”。但在设备代码钓鱼面前，它却显得力不从心。原因很简单：MFA 验证的是“用户身份”，而非“授权对象”。...Proofpoint 发现，部分攻击甚至持续数周未被发现——因为所有操作都通过合法 API 进行，IP 地址来自正常办公区域（攻击者使用代理或已控跳板机），行为模式与日常办公高度相似。

1231 0

9月重点关注这些API漏洞

• 启用Kerberos身份验证和授权，为Hadoop集群中使用的各种组件和服务提供严格的用户身份验证和授权机制。...影响范围：小阑建议•使用强密码策略，启用多因素身份验证等增强认证方式，防止通过猜测密码或弱密码进行未授权访问。...小阑建议•使用更强大的身份验证机制，如多因素身份验证、双因素认证等，确保只有合法用户能够成功通过验证。•实施严格的访问控制策略，仅允许授权用户访问敏感数据，并根据权限级别对用户进行分类和授权管理。...• 使用强密码策略，启用多因素身份验证，确保只有合法用户可以访问系统。• 启用详细的日志记录和审计功能，监控系统活动，及时发现异常行为并采取相应措施。...•使用强大的身份验证机制，如多因素身份验证和双重验证，确保只有合法用户能够成功通过验证。•定期审查和更新用户的权限，及时清理不再需要的权限，确保权限与用户职责的匹配。

1K1 0

云邮箱钓鱼攻击趋势与企业防御体系重构

典型流程如下：用户在钓鱼页面输入凭据；攻击脚本实时将凭据转发至真实登录接口，完成身份验证；获取有效的会话Cookie或OAuth 2.0访问令牌；直接注入浏览器或API调用，绕过MFA校验。...3 防御失效根源分析3.1 身份验证模型的固有缺陷当前多数企业仍依赖“密码+MFA”的双因素模型，但该模型存在两个根本问题：第一，密码作为共享密钥，本质上不可撤销且易被钓鱼。...真正的问题在于：身份验证过程未与设备状态、行为上下文深度耦合。...4.3 内容层：强化URL解析与内容隔离（1）多跳URL深度解析部署支持递归重定向跟踪的安全网关。...Microsoft Graph API吊销会话示例：import requestsdef revoke_user_sessions(user_id, access_token):url = f"https

1831 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

、offline_access），从而绕过多因素认证（MFA）实现持久化访问。...关键词：OAuth 同意滥用；假冒微软应用；Entra ID；多因素认证绕过；Graph API；条件访问1 引言多因素认证（MFA）作为现代身份安全的核心防线，已在绝大多数企业环境中广泛部署。...Microsoft Graph API。...3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志，也因数据量庞大而忽略异常。3.4 审计滞后企业极少定期审查已授权应用列表。...4.6 Graph API 异常行为监控部署KQL查询，检测异常API调用模式：// 检测单应用大量邮件读取AuditLogs| where OperationName == "Consent to application

2221 0

基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

摘要近年来，多因素认证（MFA）被广泛视为抵御凭证窃取的关键防线。...关键词：中间人代理；MFA绕过；Salty 2FA；Microsoft 365；会话劫持；条件访问；FIDO2；连续访问评估1 引言多因素认证（MFA）长期以来被视为提升账户安全性的黄金标准。...微软官方数据显示，启用MFA可阻止99.9%的自动化账户入侵尝试。...攻击者不再满足于获取用户名和密码，而是追求对合法会话的直接控制，以规避后续的身份验证检查。...尤其在Microsoft 365生态中，一旦攻击者获得有效会话Cookie或OAuth 2.0访问令牌，即可直接调用Graph API访问邮件、日历、文件甚至执行管理员操作，而无需再次触发MFA。

1641 0

从数据安全角度来看，哪些内网穿透工具的安全性高？

一、内网穿透安全性的核心评估维度在评估内网穿透工具的安全性时，我们需要关注以下几个关键维度：加密传输能力：是否支持TLS/SSL等强加密协议认证机制：身份验证方式是否足够严格（如多因素认证）日志审计：是否提供完整的访问日志记录漏洞修复速度...Tailscale（组网工具）安全优势：使用现代WireGuard协议，加密性能优于传统VPN基于零信任架构，实现最小权限访问原则自动密钥轮换，默认启用端到端加密集成多因素认证(MFA)和企业SSO支持无需开放公网端口...，减少攻击面适用场景：跨云服务安全连接2.ZeroNews（企业级防护）安全优势：业务系统不暴露公网IP，比传统VPN更轻量多因素认证集成，支持与企业现有身份认证系统集成TLS终结技术，使用自己证书进行数据加密...：强制使用TLS1.3加密：禁用旧版不安全的协议实施最小权限原则：只暴露必要的服务和端口启用多因素认证：防止凭证泄露导致入侵定期轮换凭证：包括访问令牌和API密钥监控异常连接：设置流量基线并配置告警隔离关键系统...：重要系统应使用独立穿透通道保持软件更新：及时修补已知漏洞五、未来展望：内网穿透安全趋势随着ServiceMesh架构的普及，内网穿透技术正呈现以下安全演进方向：量子抗性加密：应对未来量子计算威胁持续身份验证

7321 0

API NEWS | 谷歌云中的GhostToken漏洞

实施多因素身份验证（MFA）：为Google Cloud账户启用多因素身份验证，以增加账户的安全性。这可以防止未经授权的访问，即使攻击者获得了某些凭据。...身份验证和授权：为每个API请求实施身份验证和授权机制，确保只有经过身份验证和授权的用户或应用程序能够访问API。使用强大的身份验证方法，如多因素身份验证（MFA），来增加安全性。...小阑建议：为了预防中断身份验证，可以进行以下方式：实施多因素身份验证（MFA）：在用户进行身份验证时，要求他们提供多个验证因素，例如密码、手机验证码、指纹等。...这样即使攻击者获取了一个验证因素，他们仍然需要其他因素来成功通过身份验证。使用安全的密码策略：强制用户创建强密码，并定期更新密码。...本文最后提供了一些提高API安全性的技巧，包括：确保您的身份验证和授权实现设计良好且实施可靠。定期监控 API 使用情况并及时了解漏洞。使用输入验证来防止攻击者滥用您的 API 违背其设计意图。

1.2K2 0

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

攻击者并未窃取她的密码，也未触发任何多因素认证（MFA）警报。...但随着MFA（多因素认证）普及，仅凭密码已无法完成登录。于是，攻击者转向更隐蔽的“令牌窃取”路径。...# 攻击者侧：使用Microsoft Graph API发起设备代码请求（简化示例）import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...事实上，早在2025年2月，微软与Volexity就曾联合披露Storm-2372、UTA0304等俄系组织使用相同手法。但当时外界多视为个别事件。...答案在于：设备代码钓鱼攻击发生在身份验证之后，且完全走合法API通道。

1131 0

微软去年拦截了数百亿次暴力破解和网络钓鱼攻击

其中，多因素身份验证 (MFA) 和无密码身份验证的应用，大大提高了攻击者攻击Microsoft 目标帐户的门槛。...数据显示，截至2021年12月，在各个行业中，只有22%的使用微软云身份解决方案 Microsoft Azure Active Directory (Azure AD) 的客户实施了强身份验证保护。...多因素身份验证很重要目前，网络钓鱼仍然是获得初始进入企业内网的最主要攻击手段。随着企业在家工作的员工增加，扩大了潜在攻击面，这同时也改变公司内部和外部的网络界限。...而启用用多因素身份验证 (MFA）将会大大增加攻击者攻击成功并控制目标账户的难度。微软身份安全总监 Alex Weinert表示，从长远来看，企业用户设置的密码往往无关紧要，但是MFA很重要。...美国网络安全和基础设施安全局 (CISA) 还建议将MFA添加到网络安全列表中，并替代以往不太安全的单因素身份验证 (SFA) 。

8542 0

MICROSOFT EXCHANGE – 防止网络攻击

这些措施包括：禁用不必要的服务启用两因素身份验证启用 LDAP 签名和 LDAP 绑定应用关键安全补丁和变通办法禁用不必要的服务 Microsoft Exchange 的默认安装启用了以下服务...启用两因素身份验证大多数与 Microsoft Exchange 相关的攻击都要求攻击者已经获得用户的域凭据（密码喷洒、网络钓鱼等）。...为所有暴露的服务（如 Outlook Web Access、Exchange Web 服务和 ActiveSync）启用 2 因素身份验证将防止威胁参与者：访问用户邮箱并收集敏感数据以更高的成功率进行内部网络钓鱼攻击...通过任意 Outlook 规则实现网络持久性破坏域即使双因素身份验证将提供额外的安全层，它也应仅被视为第一道防线。...Get-Mailbox | Set-CASMailbox -EwsEnabled $false 威胁参与者将无法通过 Exchange 进行身份验证以发送 API 调用，他们将在其终端中收到以下错误

5.8K1 0

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

摘要近年来，设备代码钓鱼（Device Code Phishing）作为一种绕过多因素认证（MFA）的高级社会工程手段，在Microsoft 365环境中迅速扩散。...然而，这一本用于提升用户体验的机制，近年来被各类攻击者广泛武器化，成为绕过多因素认证（MFA）并实现账户持久化控制的关键手段。...留空（设备授权无需回调）API权限：勾选Microsoft Graph的Delegated权限，如：Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...建议：为高管、IT、财务人员强制启用FIDO2；在条件访问策略中要求高风险操作必须使用无密码认证。...有效的防御必须超越“是否启用MFA”的二元思维，转向以协议控制、最小授权与强认证为基础的纵深体系。

1611 0

7. JanusGraph服务

HTTP身份验证注意：在以下示例中，credentialsDb应与你正在使用的graph是不同的。它应该使用合适的后端存储来配置，对于这个后端存储使用不同密钥空间，表或存储目录是合适的。...此graph将通过用户名和密码来使用。 6.1.1. HTTP基本身份验证要在JanusGraph Server中启用基本身份验证，请在gremlin-server.yaml中添加以下配置。...要启用SASL身份验证，请在gremlin-server.yaml中添加以下配置 authentication: { authenticator: org.janusgraph.graphdb.tinkerpop.gremlin.server.auth.JanusGraphSimpleAuthenticator...HTTP和WebSocket身份验证如果你正在使用HTTP和WebSocket组合的方式连接，则可以使用SaslAndHMACAuthenticator进行身份验证，包含WebSocket的SASL，...HMAC是基于token的身份验证，通过HTTP使用。您首先通过/ session端点获取token，然后使用它进行身份验证。它用于节约使用基本身份验证加密密码所花费的时间。

2.9K5 0

合规导向的社交媒体账号管理框架 —— 环境一致性、会话稳定性与渐进式运营策略

（Rotating Proxy Pool）严格控制请求频率，遵守平台API使用规范独立于核心运营账号的技术环境3.2 会话连续性保障在账号初期建立阶段（0-30天），保持接入点与设备指纹的绝对稳定实施会话保持机制...：完成账号基础配置，建立初步平台信任完善企业/个人资料信息（头像、简介、联系方式）启用平台推荐的安全措施（双因素认证、登录通知）进行低频浏览行为（查看行业内容、关注官方账号）建立固定操作时间窗口（建议每日...DNS服务器5.2 业务层对齐支付方式：关联当地银行账户或支付工具联系信息：使用本地电话号码、地址信息内容本地化：发布内容应符合当地语言习惯和文化特征六、访问控制与安全管理6.1 身份认证强化多因素认证...（MFA）：启用基于时间的一次性密码（TOTP）或硬件密钥密码策略：采用16位以上复杂密码，定期轮换周期不少于90天生物识别：在支持的平台启用指纹或面部识别辅助验证6.2 权限管理体系实施基于角色的访问控制...（新设备、新位置登录通知）定期进行安全审计（每月检查活跃会话）七、数据监控与策略优化7.1 关键监控指标安全健康指标身份验证触发频率（目标：API请求成功率

2271 0

Kubernetes 集群零信任访问架构设计

保护对 Kubernetes 集群的访问的第一步是使用传输层安全性 (TLS) 保护进出 API Servre 的流量。实现零信任的 API 服务器最佳实践：随处启用 TLS。...使用 API Server 的专用端点。对 API Server 使用第三方身份验证。关闭 API Server 的防火墙入站规则，确保它被隐藏并且不能从 Internet 直接访问。...API 调用之前进行身份验证。...不记名令牌 OpenID Connect 令牌 Webhook 令牌授权身份验证的常见最佳实践包括启用至少两种身份验证方法（多因素身份验证或 MFA）和定期轮换客户端证书。...但是，使用 ABAC 方法解决问题可能更具挑战性。因此，通常以最低权限启用 RBAC。

9801 0

2FA双重身份验证工具 - GitHub、google、微软、百度、腾讯等全面启用

2024年github全面启用2FA模式登录github。在国内因为某些原因手机扫描github给出的QRCode（二维码）是无法启用该验证的，下面将手把手教你启用github的2FA验证。...传统的身份验证通常只涉及输入用户名和密码，但这种方法可能存在安全风险，因为密码可能被猜测、盗取或者破解。通过使用双因素身份验证，用户需要提供两个不同类型的身份验证因素才能成功登录。...现在，越来越多的在线服务和应用程序支持 2FA，推荐用户启用 2FA 以增强账户安全性现在目前github、微软、谷歌用的是手机验证应用程序生成的一次性密码（OTP），断网情况下依然能使用，每次打开生成一个...双因素验证：结合用户名、密码和动态口令进行登录验证，即使攻击者获取了账户密码，也无法获取实时有效的动态口令。多账户管理：支持同时管理多个账户的动态口令，可通过扫描二维码或输入密钥快速添加新账户。...多因素身份验证应用程序可以非常轻松地验证您的在线身份。

1.8K1 0

未授权访问事件频发，我们应当如何应对？

由于系统在身份验证环节存在严重漏洞，如空密码、未启用多因素认证等，使得攻击者能够轻易突破，获取未授权访问权限，进而访问核心数据库，获取学生和教师的姓名、地址、社会安全号码、医疗信息等大量敏感数据。...身份验证绕过凭证泄露是常见问题，弱口令、默认密码或凭证重用现象屡见不鲜，像 Ivanti VPN 设备未修补 CVE-2023-46805 漏洞，就是因使用不安全凭证所致。...（一）动态身份认证体系升级多因素认证（MFA）全面落地强制要求管理后台、VPN、云服务等高风险场景启用 MFA，例如通过 “密码 + 短信验证码 + 硬件令牌” 三重验证。...API 接口的全生命周期防护对 API 进行身份验证（如 OAuth 2.0）、频率限制（如每分钟最多 100 次请求）和敏感数据脱敏（如隐藏身份证中间 8 位）。...使用 API 网关监控异常流量，例如检测到同一 IP 短时间内调用不同用户 ID 的接口时，自动触发阻断。

6141 0

CVE-2020-8813：Cacti v1.2.8 中经过身份验证的RCE漏洞分析

但是当我尝试修改这个cookie值时遇到了身份验证的问题，而这个问题使我无法访问到目标页面，但是我发现这个包含漏洞的页面是能够以“Guest”身份访问的，这样就不需要进行身份验证了，所以我修改了漏洞利用代码...，并使用“Guest”身份来访问页面“graph_realtime.php”，然后发送恶意请求来在目标主机上实现代码执行。...首先，我们需要向“user_admin.php”页面发送一个请求来启用“realtime_graph”的访客权限，然后再向“graph_realtime.php”页面发送恶意请求。...”文件中的第4行，它使用了sprintf()函数来处理输入，而第一个值“graph”的内容为“local_graph_id”，而这个值是我们可以控制的！...未经身份认证的漏洞利用如果Cacti启用了“Guest Realtime Graphs”权限，那么我们就可以在未经身份验证的情况下利用该漏洞了。下面给出的是这种场景下的漏洞利用代码： #!

1.9K0 0

点击加载更多

RaccoonO365开发者落网背后：一场钓鱼即服务（PaaS）产业链的崩塌与重生

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

9月重点关注这些API漏洞

云邮箱钓鱼攻击趋势与企业防御体系重构

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

从数据安全角度来看，哪些内网穿透工具的安全性高？

API NEWS | 谷歌云中的GhostToken漏洞

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

微软去年拦截了数百亿次暴力破解和网络钓鱼攻击

MICROSOFT EXCHANGE – 防止网络攻击

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

7. JanusGraph服务

合规导向的社交媒体账号管理框架 —— 环境一致性、会话稳定性与渐进式运营策略

Kubernetes 集群零信任访问架构设计

2FA双重身份验证工具 - GitHub、google、微软、百度、腾讯等全面启用

未授权访问事件频发，我们应当如何应对？

CVE-2020-8813：Cacti v1.2.8 中经过身份验证的RCE漏洞分析

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐