在消息端点上使用$search参数时未返回Microsoft Graph API @odata.count - 腾讯云开发者社区

文章/答案/技术大牛

发布

星巴克新漏洞：可访问1亿客户记录

当sam在星巴克官网上试图购买时，他发现了API调用的可疑之处：在以“ / bff / proxy /”为前缀的API下发送了一些请求，但这些请求返回的数据似乎来自另一台主机。...于是，他给Justin发了一条消息，想想如果“ / search / v1 / accounts”端点是对所有生产帐户的搜索，那将是多么有趣…… 而事实，果然如此。...“ / search / v1 / accounts”可以访问所有星巴克帐户的Microsoft Graph实例。...随后，sam开始进一步探索该服务，以使用Microsoft Graph功能进行确认。...#Accounts", "@odata.count":99356059} 通过从Microsoft Graph URL添加“ $ count”参数，可以确定该服务具有近1亿条记录。

1.3K2 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

公共互联网反网络钓鱼工作组技术专家芦笛在接受本报专访时直言，“攻击者没有破解系统，而是利用了系统本身的设计逻辑，把‘便利性’变成了‘致命漏洞’。”...页面提示：“在另一台设备上使用此代码登录”，并要求输入代码。一切看起来合规、安全、无可挑剔。.../.default服务器返回 device_code 和 user_code（即用户看到的 ABCD-EFGH）；用户在另一台设备访问 https://aka.ms/devicelogin，输入 user_code...芦笛指出，“Azure AD 默认允许任何注册应用发起设备代码请求，而企业管理员往往不知道这一功能的存在，更未限制其使用范围。”...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近

3061 0

您找到你想要的搜索结果了吗？

是的

没有找到

高级OAuth钓鱼攻击的演化机制与防御体系构建

尤其在Microsoft 365、Google Workspace等企业生产力平台中，OAuth被深度集成于单点登录（SSO）、API调用、跨应用数据共享等关键场景。...其标准流程如下：用户访问第三方应用（Client）；Client重定向用户至授权服务器（如Microsoft Entra ID）的授权端点，携带client_id、redirect_uri、scope等参数...；用户在授权服务器页面登录并同意权限请求；授权服务器生成授权码（Authorization Code），通过重定向返回至Client指定的redirect_uri；Client使用授权码、client_secret...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...攻击者可将此参数嵌入隐藏iframe，当用户访问恶意页面时，若其浏览器仍持有有效会话，则自动完成授权，完全规避用户交互。

2861 0

langchain中的Advanced RAG和ReRank技术一览

前言在人工智能盛起的当下，前有ChatGPT珠玉在前，后有Sora（聊聊火出圈的世界AI大模型——Sora）横空出世的消息铺天盖地，笔者作为一名资深数据科学从业者，也进行了很多的探索。...在 Azure AI 搜索中，当有两个或更多并行执行的查询时，总是使用 RRF。每个查询产生一个排名结果集，RRF 用于合并和均匀化排名，形成一个单一的结果集，返回在查询响应中。...下表标识了每种匹配、算法和每种相关排名算法的分数范围所返回的评分属性。搜索方法参数评分算法范围全文搜索 @search.score BM25算法无上限。...根据默认设置，返回统一结果集中排名最高的前50个匹配项。通常，搜索引擎找到的结果数量超过 top 和 k。要返回更多结果，请使用分页参数 top、skip 和 next。...en-us/azure/search/hybrid-search-overview [7] API 响应限制: https://learn.microsoft.com/en-us/azure/search

4.7K2 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

攻击者创建名称高度仿真的OAuth应用（如“Microsoft Teams Verify”、“SecureDoc Review”），并通过钓鱼邮件或协作平台消息诱导用户点击授权链接。...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...攻击者使用refresh_token定期换取新access_token，实现长期潜伏。所有API调用均来自微软合法IP，难以被网络层检测。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...4.3 刷新令牌生命周期过长在未启用条件访问（Conditional Access）的情况下，刷新令牌有效期可达90天。即使用户更改密码，旧令牌仍有效，导致凭证轮换失效。

2671 0

枚举 WordPress 用户的 6 种方法

HTTP 参数“rest_route” 我们展示的第一个绕过是滥用替代路径到达同一端点。...参数rest_route与所有处理程序提供的路由列表相匹配。匹配是使用不区分大小写的正则表达式进行的。...搜索在少数情况下，我们遇到了没有明确阻止的API，但/wp/v2/users端点没有返回avatar_urls属性。...该端点支持参数 "搜索"。它的值与所有用户的字段匹配，包括电子邮件地址。通过简单的自动化，有可能发现每个电子邮件地址。与匹配的电子邮件相关的用户信息将在JSON响应中返回。...search=eter@initech.com https://api.*****.com/wp-json/wp/v2/users?search=peter@initech.com 绕过 6.

5.1K2 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

2025年12月，安全公司Push Security披露了一种名为“ConsentFix”的新型钓鱼攻击手法，该手法在既有“ClickFix”社会工程策略基础上，聚焦于滥用OAuth授权流程，绕过传统端点防护与密码保护机制...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...许多遗留OAuth应用仍使用宽泛的权限范围（如Mail.ReadWrite而非Mail.ReadBasic），且未启用增量授权（incremental consent）。...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1911 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

该流程允许用户在另一台具备浏览器的设备上完成授权，从而获取访问令牌。...）；调用设备授权端点，获取device_code和user_code；通过钓鱼邮件、Teams消息或短信向目标用户发送诱导信息，例如：“您的账户需进行安全验证，请立即访问 https://microsoft.com...Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用，client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”，并申请了以下API权限：Microsoft Graph: Mail.ReadWrite...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json

2361 0

深度学习图像识别项目（上）：如何快速构建图像数据集

Microsoft Bing API端点以及该API的密钥。在这里，你可以看到我的Bing搜索端点（endpoints）列表，包括我的两个API密匙（打码的那两行）。记下你的API密钥备用。...安装REQUESTS包如果系统上未安装requests，则可以通过pip进行安装： pip install requests requests包使用户能够无比轻松为我们做出的HTTP请求，它使我们不必花精力处理与...在这里，我将结果限制为前 250 张图片，并根据Bing API返回每个请求最大图像数量（ 50）。你可以将 GROUP_SIZE 参数视为每页返回的搜索结果的数量。...当我们调用requests.get去获取JSON blob时，当前offset作为参数传递（8）。...第6行的if语句可能触发的原因有：下载文件时出现网络错误，未安装合适的图像I / O库等而触发。下载图像 ? Bing图像搜索API非常好用，我喜欢它，就像喜欢皮卡丘一样！

8.4K6 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...可通过Microsoft Graph API动态评估权限风险：HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All...5 实验验证在测试租户中模拟攻击流程：注册假冒应用，请求Mail.Read + offline_access；使用普通用户账户完成同意；通过脚本每小时读取100封邮件，持续72小时。...结果：对照组：攻击成功，72小时内读取300封邮件，未触发任何告警；实验组：用户尝试同意时被条件访问策略阻止（62%）；若管理员误批准，Cloud Apps在2小时内标记高风险（28%）；剩余10%在24

2431 0

快速展示原型之Minimal API开发

： - `GET /hello/{name}`：使用路由参数 `name` 来获取请求中的数据，并返回相应的问候消息。...使用 app.MapGet().UseMiddleware() 在特定的端点上使用中间件。...在应用程序的主函数中，我们注册了自定义的异常处理中间件，并在根路径上抛出一个异常，以模拟应用程序中的异常情况。当访问根路径时，异常处理中间件将捕获并处理异常，并返回相应的错误响应。 ...可以直接在方法参数中使用依赖注入的服务。当使用 Minimal API 进行开发时，可以使用依赖注入来注册和使用服务。...在需要进行身份验证和授权的端点上，使用 `RequireAuthorization()` 方法来标记需要进行身份验证和授权的端点： ```csharp app.MapGet("/hello", ()

1.3K1 0

浅谈Elastic SearchV8的重大改进

首先说明下本文只阐述一些对我们日常使用影响比较大的更改，比如学的时候是Elastic Search v7.x及其以下的版本，但是用的时候却是Elastic Search v8.x，还有一种情况就是从低版本迁移到高版本...为了简化此过程，Elasticsearch官方在 REST API 中添加了对 7.x 兼容性标头的支持。...删除了types查询参数。...以前，可以将类型与索引查询参数组合在一起，以返回特定映射类型的索引统计信息。8.0 中删除了映射类型。2.2 删除了_xpack在 7.0 中，我们弃用了路径中包含 _xpack 的 REST 端点。...举个例子， /{index}/_xpack/graph/_explore 替换为 /{index}/_graph/explore。

6762 0

从 MVC 到使用 ASP.NET Core 6.0 的Minimal API

在某些情况下，您可能希望从查询参数绑定复杂类型。我喜欢为具有多个过滤选项的搜索端点执行此操作。...MVC 在 MVC 中，您可以返回IActionResult并使用许多内置实现，例如AcceptedResult....MinimalAPI 使用 Minimal API，我们仍然可以从依赖注入中受益，但不是使用构造函数注入，而是在处理程序委托中将依赖作为参数传递： app.MapDelete("/cache/{id}"...还有一个出色的建议[6]是在传递方法组而不是内联 lambda 时隐式生成端点名称。...这将过滤器应用于 MVC 管道，该过滤器将验证任何请求的输入并在必要时返回问题详细信息响应。

9.2K1 0

助手如何工作（Beta）

在使用工具时，助手还可以创建文件（例如图片、电子表格等），并在它们创建的消息中引用文件。...但您可以进一步自定义助手的行为：使用 instructions 参数指导助手的个性并定义其目标。指令类似于聊天完成 API 中的系统消息。...使用 tool_resources 参数为像 code_interpreter 和 file_search 这样的工具提供文件访问权限。...您可以选择使用我们的 Node 和 Python SDK 中的轮询辅助工具来帮助您。这些辅助工具将自动轮询运行对象，并在运行处于终止状态时返回运行对象。...运行步骤对象中的大部分有趣细节都存储在 step_details 字段中。可以有两种类型的步骤细节：message_creation：当助手在线程上创建消息时，将创建此运行步骤。

9371 0

UEC规范v1.0 - 2.软件层_整体架构_UE与libfabricAPI映射关系详解

使用 AV JobID 方法时，当设置了 FI_AV_AUTH_KEY 标志时，使用 fi_recvmsg() API 的 src_addr 参数确定用于无标记消息缓冲区授权的 JobID。...fi_av_insert() API 返回 fi_addr_t 类型的映射地址，该地址将传递给数据传输 API 以识别目标端点，从而无需在每次数据传输时都传递目标端点的完整地址。...使用 FI_AV_TABLE 时，返回的 fi_addr_t 是一个索引，插入地址的索引与其在表中的插入顺序相同。...图 2-12 展示了与 libfabric 端点关联的接收队列和已注册内存区域的数据结构示例。在该示例中： • 为未标记消息和标记消息分配单独的接收队列。 • 使用一个表来管理已注册的内存区域。...支持标记消息的 UET 提供程序应在 libfabric 端点基础上为未标记消息和标记消息分配独立的接收队列。 2.2.9 安全协议本节专门介绍提供程序对可选 UET 安全协议的支持。

1.1K1 0

快速构建深度学习图像数据集，微软Bing和Google哪个更好用？

图2：Microsoft Bing API 端点以及我需要使用该API时的密钥此时可以看到我的页面中 Bing 搜索终结点列表，包括两个 API 密钥。.../bing/v7.0/images/search" 在使用上述代码的时候，读者必须更改 API_KEY 的值。...我在示例中只要求数据库中有 250 张图片，一共 5 次搜索，每次搜索返回最多 50 张图片（可以通过改变 MMAX_RESULTS 参数来更改这个数量），同时我要求 Bing API 在每次执行搜索和下载图片命令时...在执行该操作时若有任何问题请参阅相关 API documentation（https://docs.microsoft.com/en-us/rest/api/cognitiveservices/bing-images-api-v7...if 语句可能由于下载文件时出现网络错误，未安装正确的图像 I / O 库等原因被触发。

2K6 0

【译】构建RESTful API的13种最佳实践

从理论上讲，任何人都可以在不到五分钟的时间内快速启动数据 API——无论是 Node.js，Golang 还是 Python。我们将探讨在构建 RESTful API 时应考虑的 13 种最佳实践。...因此，你将调用以下端点：GET api.com/authors。当你读取请求时，你无法判断 API 响应是否只包含一个或所有作者。因此，API 端点应该使用复数资源。...也就是说，请求的格式不正确或缺少请求参数。 401（Unauthorized）：未授权，你尝试访问你没有权限的资源。 404（Not Found）：请求的资源不存在。...6.如何处理搜索，分页，过滤和排序搜索，分页，过滤和排序等操作并不代表单独的端点。这些操作可以通过使用随 API 请求提供的查询参数来完成。例如，让我们检索按名称升序排列的所有作者。..., "more_info": "api.com/docs/errors/24801" } 在此示例中，服务器返回状态代码和人类可读的消息。

2.5K1 0

Python和SQL Server 2017的强大功能

当接收到的消息具有错误或结束消息类型时，过程也会结束会话，并且在错误类型上，将异常日志写入CacheIntegrationError表中。...服务代理端点对于我们的解决方案，数据库托管在同一个实例上，因此两者都使用相同的Service Broker Endpoint来发送和接收消息。 ?...它接收一个JSON对象，并将其作为方法的输出结果返回给调用者。在脚本结束时，返回的对象被转换为数组，因此可以将其结构化为SQL结果。...数据库安全 TransDB是一个OLTP数据库，我们不希望对系统发生任何安全漏洞，因此，通过我们的示例解决方案，这种数据库可以托管在未安装“机器学习服务”的SQL实例上。...使用Service Broker消息组件，解决方案足够灵活，可以在异步消息处理发生时触发或到达基于网络的系统。

3.5K5 0

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

现有安全措施在应对这类攻击时存在明显短板：一是议员办公室IT资源有限，难以部署企业级端点防护；二是政治人员工作节奏快、外部沟通频繁，对安全策略的容忍度低；三是多因素认证（MFA）虽已普及，但易被会话劫持或...（2.4）横向移动与持久化获取邮箱访问权后，攻击者常利用“自动转发规则”窃取未来邮件，或通过Graph API读取联系人、会议记录，为下一轮攻击提供情报。...部分样本还部署了基于OAuth应用的持久化后门：POST https://graph.microsoft.com/v1.0/me/mailFolders/inbox/messageRulesAuthorization...（4.3）策略层：最小权限与信息分类推行“敏感信息最小披露”原则：要求幕僚在对外通信中避免包含内部编号、未公开议程细节；建立外部文件验证流程：收到“政策草案”类附件时，必须通过官方电话或加密消息渠道二次确认来源...（5.1）系统架构前端：Outlook插件，提供举报按钮与可疑链接预览；中台：基于Microsoft Graph API的行为分析引擎；后台：条件访问策略管理与OAuth授权审计模块。

2031 0

大模型开发实战：（四）使用 LangGraph 实现多智能体应用

然而，单一智能体在处理复杂任务时存在明显局限性，例如需要用户多次引导、缺乏对外部环境的感知能力、对话历史记忆有限等。...定义智能体在 LangChain 中，使用链（chain）来定义用户与 LLM 交互的行为，即智能体。链是一个可调用的对象，接收输入并返回输出。...messages: Annotated[list, add_messages] # 消息列表，使用add_messages注解处理消息追加 documents: Optional[list...config 是一个字典，存储 LLM 运行时的配置参数，会在调用 LLM 时传入。...() 方法使用 Tavily API 进行网络搜索，获取实时信息。

3.4K3 1

点击加载更多

星巴克新漏洞：可访问1亿客户记录

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

高级OAuth钓鱼攻击的演化机制与防御体系构建

langchain中的Advanced RAG和ReRank技术一览

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

枚举 WordPress 用户的 6 种方法

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

深度学习图像识别项目（上）：如何快速构建图像数据集

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

快速展示原型之Minimal API开发

浅谈Elastic SearchV8的重大改进

从 MVC 到使用 ASP.NET Core 6.0 的Minimal API

助手如何工作（Beta）

UEC规范v1.0 - 2.软件层_整体架构_UE与libfabricAPI映射关系详解

快速构建深度学习图像数据集，微软Bing和Google哪个更好用？

【译】构建RESTful API的13种最佳实践

Python和SQL Server 2017的强大功能

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

大模型开发实战：（四）使用 LangGraph 实现多智能体应用

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐