文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    高级OAuth钓鱼攻击的演化机制与防御体系构建

    其核心价值在于解耦资源所有者(用户)与客户端应用之间的凭证传递,转而依赖短期有效的访问令牌(Access Token)与长期有效的刷新令牌(Refresh Token)完成资源访问。...;用户在授权服务器页面登录并同意权限请求;授权服务器生成授权码(Authorization Code),通过重定向返回至Client指定的redirect_uri;Client使用授权码、client_secret...EvilProxy则更进一步,利用OAuth的prompt=none参数实现静默授权。该参数指示授权服务器在用户已登录且先前已授予权限的情况下,不显示任何UI直接返回令牌。...返回的JSON响应包含access_token与refresh_token。前者有效期通常为1小时,后者可达90天(取决于租户策略)。攻击者利用刷新令牌可无限续期访问令牌,实现长期潜伏。...= {"Authorization": f"Bearer {token}"}# 列出用户邮箱文件夹resp = requests.get("https://graph.microsoft.com/v1.0

    29010

    设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

    研究揭示,此类攻击通过滥用OAuth 2.0设备授权流程,在用户主动授权的掩护下获取长期有效的刷新令牌,从而规避传统基于密码泄露或会话劫持的检测机制。...文章详细还原攻击链路,提供关键代码示例说明恶意应用注册、设备代码请求与令牌轮询过程,并评估其在不同MFA配置下的有效性。...,服务器返回标准OAuth令牌,其中refresh_token可长期使用(默认90天,可配置延长),使攻击者获得持久访问能力。...('https://graph.microsoft.com/v1.0/me/messages?...设置自动化规则,例如:当同一用户在24小时内授权超过2个未列入白名单的应用,且包含Mail.ReadWrite权限时,自动吊销令牌并告警。

    23410

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    本文聚焦于2025年披露的一类高隐蔽性钓鱼攻击:攻击者诱导用户授权伪装成合法工具的恶意OAuth应用,利用其申请的高权限API作用域(如Mail.Read、Files.ReadWrite.All),在无需密码或一次性验证码的情况下访问邮箱...一旦用户完成授权,攻击者即获得长期有效的刷新令牌(Refresh Token),可在数月内持续访问敏感数据,且难以被常规安全监控发现。.../v1.0/me/messages?...://graph.microsoft.com/v1.0/me/drive/root/children" `-Headers @{ Authorization = "Bearer $accessToken...4.3 刷新令牌生命周期过长在未启用条件访问(Conditional Access)的情况下,刷新令牌有效期可达90天。即使用户更改密码,旧令牌仍有效,导致凭证轮换失效。

    27210

    VoidProxy平台对多因素认证的绕过机制与防御对策研究

    在此过程中,攻击者不仅捕获用户名与密码,更重要的是截获认证成功后返回的会话Cookie、OAuth 2.0访问令牌及刷新令牌(Refresh Token),从而实现无需凭证重放的持久化账户访问。...更严重的是,若攻击者获取IdP管理员权限,可直接修改条件访问策略或注册恶意应用,造成全租户级风险。...://graph.microsoft.com/.default返回的Access Token可立即用于读取邮件:GET /v1.0/me/messages HTTP/1.1Host: graph.microsoft.comAuthorization...刷新令牌生命周期过长:默认情况下,Microsoft Entra ID的刷新令牌有效期可达90天,且在用户未主动登出前持续有效。这为攻击者提供了长期潜伏窗口。...指标包括:登录IP是否在历史地理围栏外;User-Agent是否与设备注册信息一致;是否在短时间内访问大量敏感资源(如/me/drive/root:/Board/)。

    24810

    onedrive for business使用python上传文件

    ,最后选择了SpencerWoo大佬的onedrive-vercel-index,但是由于是托管在vercel上面的,没办法像oneindex那样上传文件,就导致我很烦,于是便综合起来网上的教程和微软的...开发流程 向 Azure Active Directory (AAD) 注册的客户端 ID 和密钥(客户端密码) 从 OAuth 2 授权代码流收到的授权代码 OneDrive for Business...API 终结点 URL OneDrive for Business 资源的访问令牌 在当前令牌到期时生成其他访问令牌的刷新令牌。...终结点是https://graph.microsoft.com onedrive的请求api是https://graph.microsoft.com/v1.0/me/drive,但是文档中以及网上教程写的是...https://graph.microsoft.com/me/drive,这也是我认为比较坑的一点 secret需要复制“值”,而不是“机密ID” 完整代码 此处内容需要评论回复后方可阅读 使用实例 1

    5.4K50

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    授权完成后,攻击者的服务器立即通过 OAuth 2.0 的 /token 端点兑换访问令牌和刷新令牌(Refresh Token),从而获得对受害者邮箱、日历、文件等资源的长期访问权——全程无需知道密码...: application/x-www-form-urlencodedclient_id=YOUR_APP_ID&scope=https://graph.microsoft.com/.default服务器返回...device_code 和 user_code(即用户看到的 ABCD-EFGH);用户在另一台设备访问 https://aka.ms/devicelogin,输入 user_code;用户登录并授权该应用...("https://graph.microsoft.com/v1.0/me/messages?...芦笛建议,“例如,在设备代码授权页面强制显示应用名称、开发者信息、请求权限列表,并用红色高亮‘此操作将授予第三方长期访问权限’。”

    33410

    凭证窃取主导下的现代网络攻击链演化与防御体系构建

    此类攻击模式的成功,暴露出当前身份管理体系的多重脆弱性:弱密码策略、缺乏多因素认证(MFA)覆盖、OAuth授权过度宽泛、会话令牌生命周期管理缺失等。...OAuth 2.0授权虽简化了单点登录(SSO),但也导致权限过度授予问题。例如,一个仅需读取日历的协作工具,常被授予“完全访问邮箱”权限,一旦该应用令牌泄露,攻击者可直接读取高管邮件。...统一审计OAuth授权:定期扫描第三方应用权限,自动撤销非必要授权。...://graph.microsoft.com/v1.0/oauth2PermissionGrants"grants = []next_url = urlwhile next_url:resp = requests.get...://graph.microsoft.com/v1.0/oauth2PermissionGrants/{g['id']}"requests.delete(del_url, headers=headers

    25910

    ConsentFix攻击机制与OAuth授权滥用的防御对策研究

    攻击者通过伪造合法服务(如Cloudflare验证页或微软账户修复向导),引导用户在浏览器中完成看似无害的操作——复制粘贴一个URL或点击“同意”按钮,实则触发OAuth授权请求,将访问令牌(access...攻击目标不再是静态密码,而是动态的、具有时效性的授权令牌;攻击载体不再是可执行文件,而是合法云服务的API接口。这一变化对企业的安全边界提出了全新挑战。...若用户已处于活动会话(即已登录Outlook Web),系统将直接显示授权同意页面,列出请求的权限范围(如“读取您的邮件”、“访问您的文件”)。...攻击者随即用该授权码向/token端点交换访问令牌与刷新令牌:POST https://login.microsoftonline.com/common/oauth2/v2.0/tokenContent-Type...grant['clientId'] == app_id:delete_url = f"https://graph.microsoft.com/v1.0/oauth2PermissionGrants/{grant

    19310

    还原Facebook数据泄漏事件始末,用户信息到底是如何被第三方获取的?

    你需要拥有一个新的访问令牌,该令牌需要具有新的访问权限 user_photos。 点击 Get Token 并获取用户的访问令牌。...如果你对权限级别或访问令牌类型有疑问,请单击访问令牌框中的圆圈图标。 此框将显示你所发出请求的应用程序,发出请求的用户,令牌的有效期,到期时间和范围等信息,如下界面所示。...since = 1504224000&until = 1506729600 此外,你的用户访问令牌仍然有效,因为它具有 user_photos 权限,但是系统只会返回 9 月份的照片。...,并切换到 GET 并获取具有 user_posts 权限的新访问令牌。 新访问令牌所返回的响应将是 created_time ,message 和 post_id 。 检查新闻源中的更新。...将你的请求设置为:GET / me / accounts 返回的响应将包含有关页面类别,页面名称,页面 id 以及你在该页面上拥有的权限信息等。 我们来计算帐户上的所有对象的数量。

    5.3K50

    基于OAuth滥用的定向钓鱼攻击与防御机制研究

    Workspace账户的访问权限,从而合法获取高权限令牌。...一旦用户点击授权,攻击者即通过OAuth授权码或设备码流程,在用户无感知的情况下完成账户接管。...:GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization: Bearer 企业可开发内部工具...OAuth的设计初衷是提升用户体验,但其“用户同意即授权”的模型在缺乏上下文验证的情况下,极易被社会工程利用。值得注意的是,攻击者对Device Code Flow的使用尤为值得警惕。...该流程因无需用户在钓鱼页面输入任何信息,传统基于表单提交的检测完全失效。未来,云服务商应考虑在设备码授权时增加二次确认(如短信验证码),或限制非交互式流程的权限范围。此外,会议主办方亦负有安全责任。

    28410

    针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

    部分样本还部署了基于OAuth应用的持久化后门:POST https://graph.microsoft.com/v1.0/me/mailFolders/inbox/messageRulesAuthorization...(3.4)MFA实施不彻底虽然强制启用MFA,但未禁用基础认证(Basic Authentication)或未监控异常OAuth授权,使攻击者仍可通过令牌窃取绕过。...:部署脚本定期审计第三方应用权限:# 列出所有具有Mail.Read权限的非微软应用Get-AzureADUser | ForEach-Object {Get-AzureADOAuth2PermissionGrant...(5.1)系统架构前端:Outlook插件,提供举报按钮与可疑链接预览;中台:基于Microsoft Graph API的行为分析引擎;后台:条件访问策略管理与OAuth授权审计模块。...本文研究表明,有效的防御不能仅靠加固边界,而需构建以身份为中心、行为为依据、策略为约束的动态防护体系。

    20510

    5个REST API安全准则

    cookie或内容参数发送,以确保特权集合或操作得到正确保护,防止未经授权的使用。...TLS的开销在现代硬件上是可以忽略的,具有微小的延迟增加,其对于最终用户的安全性得到更多的补偿。 考虑使用相互认证的客户端证书为高度特权的Web服务提供额外的保护。...欲了解更多信息,您可以访问https://jwt.io/introduction/ 。 5 - HTTP状态代码 HTTP定义了状态码。...401未授权 -错误或没有提供任何authencation ID /密码。 403禁止 -当身份验证成功,但身份验证的用户没有权限使用请求的资源。 404未找到 -当请求一个不存在的资源。...429太多的请求 -可能存在的DOS攻击检测或由于速率限制的请求被拒绝 (1)401和403 401“未授权”的真正含义未经身份验证的,“需要有效凭据才能作出回应。”

    5.1K10

    六种Web身份验证方法比较和Flask示例代码

    也就是说,用户必须保持有效,然后才能根据其授权级别授予对资源的访问权限。对用户进行身份验证的最常见方法是 via 和 。...它适用于 API 调用以及不需要持久会话的简单身份验证工作流。 流程 未经身份验证的客户端请求受限资源 返回 HTTP 401 未授权,其标头值为 。...流程 未经身份验证的客户端请求受限资源 服务器生成一个名为 nonce 的随机值,并发回 HTTP 401 未授权状态,其标头的值与 nonce 一起为:WWW-AuthenticateDigestWWW-Authenticate...用户使用有效凭据进行身份验证,服务器返回签名令牌。此令牌可用于后续请求。 最常用的令牌是 JSON Web 令牌 (JWT)。...网站如何访问您的 Google 云端硬盘?这就是OAuth发挥作用的地方。您可以授予访问其他网站上的资源的权限。在这种情况下,请以写入权限访问 Google 云端硬盘。 优点 提高了安全性。

    11K40

    伪装成安全会议的“数字陷阱”:俄罗斯黑客如何借OAuth之名窃取全球政要邮箱?

    这意味着,即便用户后续修改密码,攻击者仍可通过刷新令牌长期维持访问权限。...,返回的JSON将包含可用于调用Microsoft Graph API的令牌:{"token_type": "Bearer","scope": "Mail.Read Mail.Send User.Read...(长期有效)"}凭借此令牌,攻击者可读取邮件、发送新邮件、访问OneDrive文件,甚至注册新设备——正如Volexity所观察到的,UTA0355在得手后立即在Entra ID(原Azure AD)中注册了一台名为...页面授权,此请求将返回完整令牌。...)粒度粗:Mail.Read权限一旦授予,即代表全部邮件可读;令牌持久化:Refresh Token有效期可达90天甚至更长,且难以被用户主动撤销;缺乏上下文感知:系统无法判断“此刻授权是否符合用户真实意图

    17610

    实现“永久登录”:针对蜻蜓Q系统的用户体验优化方案(前端uni-app+后端Laravel详解)-优雅草卓伊凡

    这个“超长有效期”的凭证,通常就是我们延长了有效期的 Refresh Token,或者一个独立的、专门用于此目的的 “记住我令牌”(Remember Me Token)。...“记住我”功能:创建一个与设备绑定的、有效期极长的 Remember Me Token(例如 1 年),并将其安全地存储在客户端(如本地存储)。...> { const { statusCode, data } = response; if (statusCode === 401) { // 遇到 401 未授权错误 if (!...登录页面在登录页面,当用户成功登录并选择“记住我”后,保存返回的所有令牌。...前端:负责安全地存储令牌,在每次请求时自动携带,并在收到 401 错误时自动尝试刷新令牌,实现无感登录。同时,在 App 启动时自动恢复登录状态。

    41610
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券