向微软的Graph API发出请求时的AuthenticatonError - 腾讯云开发者社区

文章/答案/技术大牛

发布

Office开发者计划-永久白嫖Office365

服务都失效了，在B站偶然刷到相关的内容，刚好满足我的白嫖心理~ 步骤说明注册Microsoft账号，并加入开发者计划下载Microsoft365，登录账号并激活自动续时：保持开发者身份...，完成注册之后通过验证则激活成功（后续有关该账号的活动则可通过软件进行授权）自动续订自动续期 Office 365开发者订阅默认是90天有效期，到期须续期才可继续使用，微软会验证账户内是否应用了所提供的相关...版程序自动配置添加API权限必须手动配置API权限可以选择相应的API进行配置此处以Microsoft Graph为参考，选择“委托的权限”，根据列出的API权限需求表进行选择...，可用于生成和测试对 Microsoft Graph API 的请求 API需要的权限设定可在预览卡中查阅，授权后则可再次尝试调用响应 Postman 是一个可用于向 Microsoft...Graph API 发出请求的工具：Postman&Microsoft Graph API使用 c.Microsoft Graph 快速入门示例 Microsoft Graph入门

11.4K3 2

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...关键词：OAuth 同意滥用；假冒微软应用；Entra ID；多因素认证绕过；Graph API；条件访问1 引言多因素认证（MFA）作为现代身份安全的核心防线，已在绝大多数企业环境中广泛部署。...流程如下：应用重定向用户至https://login.microsoftonline.com/common/oauth2/v2.0/authorize；微软显示标准同意页面，列出请求的权限范围（scopes...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...即使请求User.ReadWrite.All等高危权限，用户也常因界面“来自微软”而轻信。

2371 0

您找到你想要的搜索结果了吗？

是的

没有找到

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

“这是一场精心设计的信任滥用。”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报专访时直言，“攻击者没有破解系统，而是利用了系统本身的设计逻辑，把‘便利性’变成了‘致命漏洞’。”...，向微软请求设备代码。...向 Azure AD 请求设备代码client_id = "ATTACKER_APP_ID" # 攻击者注册的恶意应用IDscope = "https://graph.microsoft.com/.default"resp..."❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近10封邮件...原因很简单：MFA 验证的是“用户身份”，而非“授权对象”。当用户在微软官网完成 MFA 验证后，系统认为“这是本人操作”，于是放心地将权限授予请求的应用。

2781 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

攻击者通过伪造合法服务（如Cloudflare验证页或微软账户修复向导），引导用户在浏览器中完成看似无害的操作——复制粘贴一个URL或点击“同意”按钮，实则触发OAuth授权请求，将访问令牌（access...用户被诱导相信这是正常验证流程的一部分。（二）授权诱导与令牌捕获当用户点击“继续”或“验证”按钮时，浏览器跳转至微软官方登录页。...，检测以下信号：新注册应用请求高权限；用户短时间内多次授权不同应用；授权后立即调用高风险API（如批量导出邮件）。...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1861 0

微软揭露针对以色列的 POLONIUM 组织攻击活动

微软近期发现了一个总部设在黎巴嫩的攻击组织 POLONIUM。根据受害者与攻击工具的分析，微软认为其很有可能是由伊朗情报与安全部（MOIS）下属的攻击者运营的。...使用该 OAuth Token 就可以向 Microsoft Graph API 请求（https://graph.microsoft.com/v1.0/me/drive/root:/Documents...请求结构为：https://graph.microsoft.com/v1.0/me/drive/root:/Uploaded/???:/content。...通过 OneDrive 下载文件，请求结构为https://graph.microsoft.com/v1.0/me/drive/root:/Downloaded/???:/content。...Execute 未响应任何指令时，将进入该分支。响应中可以包含要执行的命令数组或先前下载文件的文件路径。攻击者也可以使用单命令与文件路径的组合。

1.7K2 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

其典型交互流程包含以下步骤：客户端（Client）向授权服务器（Authorization Server）发起设备授权请求；授权服务器返回设备代码（device_code）、用户代码（user_code...Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...建议设置自动化告警规则，例如：当同一用户在1小时内授权超过3个不同客户端应用，且其中包含未列入白名单的应用时，触发安全警报。...组织应开展针对性培训，强调：微软绝不会通过邮件/短信要求用户“输入设备代码”；所有授权操作应明确显示请求权限的应用名称与发布者；用户可在 https://mysignins.microsoft.com/

1901 0

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

其标准流程如下：用户在受限设备上请求访问资源（如OneDrive）；设备向授权服务器（如Azure AD）发起请求，获取一个设备代码（device_code）和用户验证码（user_code）；用户被引导至...# 攻击者侧：使用Microsoft Graph API发起设备代码请求（简化示例）import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...公共互联网反网络钓鱼工作组技术专家芦笛在接受本报采访时比喻道，“设备代码钓鱼的可怕之处在于，它利用的是用户对微软官方域名的信任，以及对‘授权’行为的无意识。”...邮件安全网关：钓鱼邮件来自真实邮箱，内容无恶意附件或链接（指向的是微软官方域名），难以拦截；MFA：用户确实在微软官网完成了交互式登录，MFA已通过；SIEM/SOAR：后续的API调用（如读取邮件）来自微软数据中心...例如，若某账户在短时间内从不同国家调用Graph API，即使Token合法，也应触发二次验证。（4）员工意识培训需升级传统“别点可疑链接”已不够。

1621 0

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

研究建议组织部署基于设备合规性与地理位置的条件访问策略、启用云访问安全代理（CASB）监控异常共享行为、强化对页面内嵌外链的深度解析，并加速向无密码认证迁移。...一旦得手，攻击者可立即利用Graph API遍历收件箱，提取包含财务、合同、人事等关键词的邮件线程，自动生成极具欺骗性的横向钓鱼内容，形成指数级扩散。面对此类攻击，仅依赖邮件层防护已显不足。...建议策略包括：设备合规性要求：仅允许混合Azure AD加入或Intune标记为合规的设备访问敏感应用；地理位置限制：阻止来自高风险国家/地区的登录；匿名IP阻断：自动拒绝Tor或已知代理IP的请求。...以下为通过Microsoft Graph API创建条件访问策略的示例：policy = {"displayName": "Block risky logins to SharePoint","state...会话的User-Agent、IP、地理位置是否与共享创建者一致？通过构建会话图谱（Session Graph），将文件访问、登录、API调用等事件关联，可有效识别异常跳转链。

3001 0

微软用边缘计算解决问题，谷歌FB亚马逊却主要卖广告 | Build 2017

365，现场以PPT自动实时翻译为例，后者结合了微软翻译的API）。...沈向洋表示，微软将继续积极寻求将AI融入其各个产品和服务，利用Microsoft Graph为开发者提供更多新的机会和使用场景。...沈向洋亲自撰文：人工智能重新定义微软（文／沈向洋博士，微软全球执行副总裁，微软人工智能及微软研究事业部负责人）若干年前，很难想象会有一样技术工具是由人工智能驱动的。...此外，开发者现在可以将其成果发布到新的渠道中，包括Skype for Business、必应搜索和 Cortana，并且可以利用微软的支付请求API，利用他们的机器人实现快速便捷的结账。...在Build大会上，我们向开发者提供了关于Microsoft Graph的更多细节。它允许用户使用来自其组织内的数据来推动人工智能转型。

1.5K6 0

8个视频案例教你用好Facebook Graph API

直到现在，Facebook CEO小扎也没有发出任何官方回应，以及未来该如何更好的保护私人数据。...今天我们来了解一下如何使用Facebook Graph API用Python进行数据抓取和分析。...这些视频将向你展示如何做基本的分析，例如：从Facebook下载数据从json转换为更方便的数据结构处理Graph API中的日期变量和其他数据第1课：介绍和了解Graph API 在本视频中，...我将向您介绍GRAPH API，我将使用GRAPH API Explorer并向您展示一些示例请求。...第4课：评论最多的帖子在第四课中，我将向您展示一种简单的方式，以获得评论最多的帖子。

1.9K2 0

寄生在“官方邀请”里的骗局：微软 Entra 访客功能成钓鱼新温床，TOAD 攻击席卷全球企业

据 SC World 于2025年11月18日报道，威胁行为者正利用微软合法的 invites@microsoft.com 邮箱地址，向目标企业员工发送看似正规的 Entra 租户协作邀请邮件。...这些邮件并非垃圾信息，而是真实由微软系统发出、通过 SPF/DKIM/DMARC 全套邮件认证的“官方通信”。...企业可通过 Microsoft Graph API 监控可疑邀请行为。...以下是一个基于 PowerShell 的监控脚本雏形：# 获取最近24小时内所有外部邀请$invites = Invoke-MgGraphRequest -Uri "https://graph.microsoft.com...2025年12月，俄罗斯学术钓鱼（Operation ForumTroll）：攻击者向 eLibrary（俄知名学术平台）用户发送“论文版权侵权”通知，邮件由 eLibrary 官方系统发出，内嵌伪造法院传票链接

1491 0

微软开源图数据查询语言LIKQ，海量图数据实时检索和集成触手可得

【新智元导读】微软开源图数据查询语言 LIKQ，这是基于分布式大规模图数据处理引擎 Graph Engine 的一种可用于子图和路径查询的数据查询语言，强强联合，海量图数据的实时检索和集成变得触手可得...Graph Engine（分布式图处理引擎）是微软亚洲研究院于2015年发布的基于内存的分布式大规模图数据处理引擎，可以帮助用户高效地处理大规模图数据。...众多领域的科研人员和开发者利用 Graph Engine 开发出了各种充满创意的应用。 ?...此前，基于 Graph Engine 的 LIKQ 已被应用于微软认知服务的学术图谱检索 API 中，用户可以通过微软认知服务对微软学术图谱进行实时的路径和模式匹配查询。 ?...Graph Engine 还可与强大的集成开发环境 Visual Studio 以及微软云计算平台 Azure 无缝集成。

1.6K10 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

Graph API。...攻击者服务器立即用该码向/token端点请求访问令牌与刷新令牌：POST https://login.microsoftonline.com/common/oauth2/v2.0/tokenContent-Type...所有API调用均来自微软合法IP，难以被网络层检测。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...尤其当用户将“微软登录页面”等同于“安全操作”时，社会工程成功率极高。此外，微软的默认安全策略偏向可用性。

2431 0

GPT4发布，有哪些升级和应用？

获得访问权限后，您可以向 gpt-4 模型发出纯文本请求（图像输入仍处于有限的 alpha 阶段）定价为每 1k 个prompt token 0.03 美元和每 1k 个生成token 0.06 美元。...微软构建的这个Microsoft 365 Copilot全系统，把GPT-4和 Word、Excel、PPT等办公软件APPs，Microsoft Graph做了一个超强联合，通过Copilot通用的界面和自然语言...根据官方透露系统主要包含如下图所示部分：微软365应用程序（word、excel等）、用户个人数据（MicroSoft Graph）、语言大模型（GPT4）和AI中枢系统（Copilot）。...图片第二步，如下图所示，Copilot 要求 Microsoft Graph 提供输入和上下文，然后AI中枢系统修改Prompt请求后，发送给大语言模型 GPT-4。...图片第三步，如下图所示，由语言大模型理解人类的需求，返回对应的输出给AI中枢系统Copilot，Copilot会请求Microsoft Graph 再次检查其安全性和合规性。

5.5K43 2

Facebook Graph API(1)—介绍

所有的东西在Open Graph中都有ID Graph API使用的HTTP请求，GET for read, POST for modify & add, DELETE to remove nodes....示例：你可以在左边选择请求的类型(GET,POST or DELETE)，以及任何需要修改的数据。 ?...HTTP请求的路径是: graph.facebook.com Names 可以根据name来获取用户信息。...例如: /yourfacebookname 还有一个特别的路径来访问用户信息:/me 微软Live Connect使用的相同方式来获取用户信息。使用 /me 来获取用户信息需要认证。 ?...Connections 连接是通过构建不同的URL通过Graph API去获取用户的具体信息。再获取用户信息前提是用户必须授权给应用，否则返回空的数据集合。

2.7K8 0

Microsoft Forms未授权获取他人邮箱信息的漏洞分析

这里，我可以请求微软官方的metadata接口来看看： http://forms.office.com/formapi/api/$metadata 在上述微软的XML元数据结构中，并没有多少有意义的线索...并往里面填写提交调查数据时，就会向微软服务端有一个请求动作，而此时用户A可以在他的账户环境中看到用户B的提交数据。...在以上第3步的用户B提交数据过程，会有以下提交请求：可以注意到其中包含了以下关键字段： formapi/api//users//forms()/responses 用户B提交表单数据时，这里请求内容中的...于是，我就用$select语法构造了以下查询请求：但请求发出后，服务端却返回了404的状态。也即服务端不允许我访问createdBy属性或是其他用户的表单邮箱信息。...请求发出后，终于成功获取到了受害者的邮箱信息：据此，我就能无交互地实现受害者邮箱信息获取了，当然最终也收获了微软官方奖励的$2k奖励。

2.2K2 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...此外，用户面对频繁的授权弹窗易产生“点击疲劳”，对权限请求缺乏审慎评估。这些因素共同构成了高级OAuth钓鱼的温床。...3.2 令牌持久化与横向移动获取授权码后，PhaaS平台立即向令牌端点发起请求：POST /common/oauth2/v2.0/token HTTP/1.1Host: login.microsoftonline.comContent-Type...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...以下Python脚本利用Microsoft Graph API实现自动化审计：import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

2811 0

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

一、一场“巧合”的攻击暴露了更危险的趋势2025年10月，一家位于德国的能源企业安全团队在例行日志审计中发现异常：多个高管账户在凌晨时段调用了Microsoft Graph API，读取了大量内部邮件和...标准流程如下：受限设备向授权服务器（如Azure AD）请求设备代码；服务器返回一个短时效的device_code和用户需手动输入的user_code；用户被引导至 https://microsoft.com...此时，受害者实际上是在向攻击者控制的应用授权！一旦确认，攻击者的轮询脚本立即获得Access Token，并可调用任意Graph API权限。...公共互联网反网络钓鱼工作组技术专家芦笛解释，“微软服务器看到的是正常API调用，防火墙看到的是HTTPS流量，EDR看到的是合法进程——没有任何异常信号。”...（4）员工培训升级：从“防链接”到“防授权”培训内容需更新：任何要求“输入代码到微软登录页”的请求都需警惕；授权前务必确认应用名称是否可信（如“Microsoft Teams” vs “FileShare

1601 0

前端自动化测试革命：Playwright如何一统端到端测试？

这是某大厂前端团队在凌晨3点的会议室发出的灵魂拷问。直到他们全面接入Playwright后，端到端测试耗时从8小时→20分钟，测试覆盖率从37%→89%。...今天我们就来揭秘这个微软开源的测试神器如何重新定义前端自动化测试。为什么说Playwright是颠覆者？...拦截API请求进行验证 const [response] = await Promise.all([ page.waitForResponse(res => res.url().includes...网络请求验证 await expect(page).toHaveRequested('/api/updateCart', { method: 'POST', data: { itemId:...1, selected: true } });});技巧二：Page Object模式的三大升级架构对比graph TD A[传统PO模式] --> B[冗余的初始化代码] A -->

7072 1

基于 Jepsen 来发现几个 Raft 实现中的一致性问题(2)

同时有 4 个客户端对这个系统发出请求，图中每一个方框的上沿和下沿代表发出请求的时间和收到响应的时间。...[image] 从客户端的角度来看，对于任何一次请求，服务端处理这个请求可能发生在从客户端发出请求到接收到对应的结果这段时间的任何一个时间点。...尽管从全局角度看，read 1 的请求最先发出，但实际却是最后被处理的。...在初始状态，三个副本中的状态机中都为 1，Leader 为 A，term为 1 客户端发送了 write 2 的请求，Leader 根据上面的流程进行处理，在向 client 告知写入成功后被 kill...当发生网络分区时， leader 尽管被隔离，但是在这个租约时间仍然可以处理读请求（对于写请求，由于被隔离，都会告知客户端写入失败），超出租约时间后则会返回失败。

8062 0

点击加载更多

Office开发者计划-永久白嫖Office365

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

微软揭露针对以色列的 POLONIUM 组织攻击活动

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

微软用边缘计算解决问题，谷歌FB亚马逊却主要卖广告 | Build 2017

8个视频案例教你用好Facebook Graph API

寄生在“官方邀请”里的骗局：微软 Entra 访客功能成钓鱼新温床，TOAD 攻击席卷全球企业

微软开源图数据查询语言LIKQ，海量图数据实时检索和集成触手可得

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

GPT4发布，有哪些升级和应用？

Facebook Graph API(1)—介绍

Microsoft Forms未授权获取他人邮箱信息的漏洞分析

高级OAuth钓鱼攻击的演化机制与防御体系构建

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

前端自动化测试革命：Playwright如何一统端到端测试？

基于 Jepsen 来发现几个 Raft 实现中的一致性问题(2)

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐