文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

一旦授权成功,即使用户更改密码或启用MFA,攻击者仍可通过已授权的应用持续访问邮箱、日历、文件等敏感资源。...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...四、企业授权管理现状与漏洞尽管主流云平台提供应用授权管理界面(如Microsoft Entra ID中的“应用权限”面板),但多数企业在实践中存在以下问题:第一,授权可见性不足。...(二)策略管理层:建立授权生命周期管理定期授权审计:每季度导出全组织应用授权清单,清理未使用或来源不明的应用;实施最小权限原则:推动业务部门使用权限更细的现代API(如Microsoft Graph的delegated...permissions with scopes);自动化撤销机制:当检测到可疑活动时,自动调用Microsoft Graph API撤销相关应用授权:# 使用Microsoft Graph API撤销用户授权

19010

微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

消息中附带一个标准微软短链:**https://aka.ms/devicelogin**(真实有效的微软设备登录入口),并提供一组8位字母数字混合的“设备代码”,例如 XK92-MPQ7。...=YOUR_APP_ID&scope=https://graph.microsoft.com/.default服务器返回 device_code 和 user_code(即用户看到的 ABCD-EFGH...向 Azure AD 请求设备代码client_id = "ATTACKER_APP_ID" # 攻击者注册的恶意应用IDscope = "https://graph.microsoft.com/.default"resp...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:# 示例:读取受害者最近...Proofpoint 发现,部分攻击甚至持续数周未被发现——因为所有操作都通过合法 API 进行,IP 地址来自正常办公区域(攻击者使用代理或已控跳板机),行为模式与日常办公高度相似。

28710
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    2 OAuth 2.0在Microsoft Entra ID中的授权流程为理解攻击原理,需首先厘清合法OAuth授权流程。...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...4 企业安全配置中的薄弱环节尽管微软提供多项安全控制,但实际部署中普遍存在以下问题:4.1 第三方应用授权策略宽松默认情况下,Microsoft Entra ID允许所有用户注册和授权第三方应用。...5 防御体系构建5.1 身份治理层5.1.1 限制应用注册权限在Entra ID中执行以下配置:禁用用户注册应用:Users → User settings → App registrations →

    25010

    基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

    Graph API 的代码示例,验证防御措施的可行性。...更具隐蔽性的是,攻击者在邀请邮件的“自定义消息”(Custom Message)字段中植入诱导性文本,例如“您的 Microsoft 365 账户将于今日自动续费 $299.99,请立即联系账单支持取消...邀请可通过以下方式发起:手动邀请:管理员或具有“Guest Inviter”角色的用户通过 Azure 门户、Microsoft Graph API 或 PowerShell 发送邀请。...一旦获得权限,攻击者可通过 Microsoft Graph API 发送邀请。...Single User条件:同一用户在 1 小时内发送超过 5 次邀请响应:自动禁用该用户邀请权限并告警Graph API 查询示例:GET https://graph.microsoft.com/v1.0

    16500

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中,第三方应用若需访问用户资源(如邮件、日历),必须通过OAuth 2.0授权码流程获取权限。...Graph API。...3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志,也因数据量庞大而忽略异常。3.4 审计滞后企业极少定期审查已授权应用列表。...同时,在SSO门户嵌入“已授权应用”自助管理页面,鼓励用户定期审查。

    24010

    凭证窃取主导下的现代网络攻击链演化与防御体系构建

    尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中,一旦主账户凭证失窃,攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄,而平均检测延迟仍超过...此过程中,攻击者无需部署恶意软件,全程利用合法API调用,规避传统EDR检测。思科报告显示,73%的勒索事件中,攻击者在获得凭证后4小时内完成数据加密或外传。...4.4 管理层:文化与流程重塑部署对话式钓鱼模拟:不同于传统一次性测试,采用持续性、上下文感知的模拟(如模拟IT部门在Teams中询问“是否收到安全更新邮件?”),提升员工警惕性。...,'scope': 'https://graph.microsoft.com/.default','client_secret': CLIENT_SECRET,'grant_type': 'client_credentials...Graph API /users/{id}/revokeSignInSessions;发送Teams通知至用户及IT支持;创建Jira工单要求用户完成安全培训;更新IAM策略,强制启用FIDO2。

    24910

    设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

    );调用设备授权端点,获取device_code和user_code;通过钓鱼邮件、Teams消息或短信向目标用户发送诱导信息,例如:“您的账户需进行安全验证,请立即访问 https://microsoft.com...Graph API,读取邮件、日历、联系人,甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用,client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”,并申请了以下API权限:Microsoft Graph: Mail.ReadWrite...= "a1b2c3d4-5678-90ef-ghij-klmnopqrstuv"TENANT_ID = "common" # 或指定租户IDSCOPE = "https://graph.microsoft.com...6 结论设备代码钓鱼攻击暴露了OAuth 2.0设备授权流程在企业环境中的安全缺陷。其利用合法认证界面绕过传统防御机制,对Microsoft 365用户构成实质性威胁。

    20010

    俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱,安全界拉响新型OAuth攻击警报

    # 攻击者侧:使用Microsoft Graph API发起设备代码请求(简化示例)import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后,攻击者即可调用Microsoft Graph API,读取邮件、日历、OneDrive文件、Teams消息,甚至发送新邮件冒充受害者——全程无需知道密码...直到2025年8月,亚马逊威胁情报团队发现APT29在针对欧洲安全会议的钓鱼活动中复用该技术,业界才意识到这已成为其标准作业程序(SOP)。更值得警惕的是,此类攻击工具已“平民化”。...(1)立即行动:限制设备代码流最直接有效的措施,是在Azure AD中通过条件访问策略(Conditional Access Policy)禁用设备代码授权。...例如,若某账户在短时间内从不同国家调用Graph API,即使Token合法,也应触发二次验证。(4)员工意识培训需升级传统“别点可疑链接”已不够。

    16810

    Microsoft 365 全球宕机5小时,竟是路由器的锅

    、Microsoft 365 Admin Center、Microsoft Graph、Microsoft Intune、Microsoft Defender for Cloud Apps和Microsoft...此外,一些客户在加载 Microsoft Azure 状态页面时同样会遇到问题,该页面间歇性显示“504网关超时”错误。目前微软内部技术团队正在展开积极调查,一旦有更多消息,会立刻分享给大众。...微软透露,服务器中断问题是在使用未经彻底审查的命令更改 WAN 路由器的 IP 地址时引发的,该命令在不同网络设备上具有不同的行为。...作为更新 WAN 路由器上 IP 地址的计划更改的一部分,向路由器发出的命令使其向 WAN 中的所有其它由器发送消息,这导致所有路由器重新计算其邻接表和转发表。...在重新计算过程中,路由器无法正确转发通过它们的数据包 当网络从 UTC 08:10 开始自行恢复时,负责维护广域网(WAN)运行状况的自动化系统由于网络受到影响而暂停。

    1.8K60

    警惕“授权即沦陷”!Barracuda预警:高级OAuth钓鱼正悄然接管你的企业账号

    你有没有在登录某个小工具或第三方应用时,看到过这样的提示:“此应用想要访问你的Microsoft 365邮箱、日历和文件”?...点下“同意”只需一秒,但风险可能持续数月——甚至在你完全不知情的情况下,攻击者已通过这个授权,悄悄读取你的邮件、下载公司文档、冒充你发消息。...启用第三方应用管理员审批在Microsoft Entra ID(原Azure AD)中开启“用户无法自行同意应用”策略,所有新应用授权必须经IT管理员审核。此举可阻断90%以上的恶意应用注册。2....同时,定期审查已授权应用列表(路径:Microsoft 365门户 > 账户 > 应用权限),删除不再使用或可疑的“影子应用”。3....即使令牌被盗,也无法在陌生设备上使用。5. 定期吊销可疑刷新令牌通过Microsoft Graph API或安全中心,监控异常令牌活动(如非工作时间、非常用地点),并批量撤销高风险会话。

    31410

    VoidProxy平台对多因素认证的绕过机制与防御对策研究

    一、引言近年来,随着多因素认证(Multi-Factor Authentication, MFA)在企业身份基础设施中的广泛部署,传统基于密码窃取的账户接管攻击已显著受限。...,即使用户登出仍有效;Access Token:短期有效(通常1小时),但可用于调用Microsoft Graph API。...Microsoft Entra ID已支持此功能,可通过条件访问策略强制:# Azure AD PowerShell: 要求FIDO2且禁止非托管设备New-AzureADMSConditionalAccessPolicy...Microsoft Graph提供/revokeSignInSessions API,可编程终止可疑会话:import requestsdef revoke_suspicious_sessions(user_id...DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌,该私钥与TLS连接绑定。即使攻击者窃取Access Token,也无法在其他连接中使用。

    24110

    寄生在“官方邀请”里的骗局:微软 Entra 访客功能成钓鱼新温床,TOAD 攻击席卷全球企业

    攻击者不再依赖伪造发件人地址或拼写错误的域名,而是将矛头直指 微软官方基础设施本身——具体而言,是 Microsoft Entra ID(原 Azure Active Directory)中的 B2B...然而,在邀请邮件附带的 自定义消息字段(Message Field) 中,攻击者巧妙嵌入了一段精心编排的钓鱼话术:“您的 Microsoft 365 年度订阅已续费,金额为 $499.99。...一、攻击拆解:当“合法邀请”成为钓鱼信封要理解此次攻击的危险性,必须先厘清 Microsoft Entra B2B 协作机制的工作原理。在现代混合办公环境中,企业常需与外部合作伙伴共享资源。...企业可通过 Microsoft Graph API 监控可疑邀请行为。...对此,公共互联网反网络钓鱼工作组技术专家芦笛提出三点建议:最小权限原则落地:在 Entra ID(或同类平台)中,严格限制“Guest Inviter”角色,仅授权必要人员。

    15210

    Apache Spark 2.2.0 中文文档 - GraphX Programming Guide | ApacheCN

    通过生成具有所需更改的新图形来完成对图表的值或结构的更改。请注意,原始图形的大部分(即,未受影响的结构,属性和索引)在新图表中重复使用,可降低此内在功能数据结构的成本。...没有收到消息的顶点不包括在返回的 VertexRDDVertexRDD 中。...GraphX 公开了 Pregel API 的变体。 在高层次上,GraphX 中的 Pregel 运算符是限制到图形拓扑的批量同步并行消息抽象。...在本节中,我们将回顾一些这些类型中的其他有用功能。请注意,这只是一个不完整的列表,请参阅API文档中的正式操作列表。...在每个分区中,边缘属性和邻接结构分别存储,可以在更改属性值时进行最大限度的重用。

    3.5K91

    最新!TensorFlow 1.9.0正式版发布

    将核心功能列的支持和损失添加到梯度boosted tree估计器中。 Python接口用于TFLite优化转换器已扩展,命令行界面(toco,tflite_convert)再次包括在标准pip安装。...错误修复和其他更改 tfe.Network已弃用,请用tf.keras.Model。 分层变量名称在以下条件中已更改: 使用tf.keras.layers自定义变量范围。...TensorFlow调试器(tfdbg) 修复了TensorBoard调试器插件无法处理超过gRPC消息大小限制(4 MB)的总源文件大小的问题。...更新tf.scan的基准以匹配eager和graph模式的范围。 为复杂dtypes修复tf.reduce_prod gradient了错误。 在变量中允许使用’.’...使ids独特nn.embedding_lookup_sparse,当批处理中存在重复的ID时,这有助于减少用于查找嵌入的RPC调用。 在boosted tree中支持指标列。

    1.4K20

    你打出去的“客服电话”,正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板,回拨型攻击席卷全球企业

    这意味着:邮件不会被标记为垃圾;不会触发基于发件人信誉的拦截规则;在Outlook等客户端中显示为“已验证发件人”。攻击者正是看中这一点。...在Microsoft 365深度集成的环境中,员工每天可能收到数十条此类通知,早已形成“条件反射式信任”。“安全网关看到的是‘微软发来的正常通知’,自然放行。”...例如:浏览器中已登录的Outlook、SharePoint、OneDrive;Windows凭据管理器中存储的域账号密码;已缓存的Kerberos票据(TGT)。...邮件层:增强Teams通知监控限制Teams外部邀请:在Microsoft 365管理中心配置策略,禁止非组织成员创建团队或邀请用户;监控异常团队命名:通过Microsoft Graph API定期扫描团队名称...,识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体;# 示例:通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups

    20110

    多通道钓鱼攻击的演化与行为安全防御模型研究

    攻击者已广泛利用 WhatsApp、Telegram、Slack、Microsoft Teams、Zoom 及 CRM 系统等协作工具实施社会工程攻击,传统基于签名或 URL 黑名单的检测机制在面对跨渠道...然而,现代工作场所的通信栈已演变为包含以下层级的复杂生态:即时消息层:WhatsApp、Telegram、Signal、WeChat Work;企业协作层:Slack、Microsoft Teams、钉钉...攻击者利用这些平台的 API 或 Webhook 功能,自动化发送消息。...例如,通过 Microsoft Graph API 向 Teams 用户推送伪造的“IT 安全警报”;或利用 Telegram Bot 向财务人员发送“CEO 指令”要求紧急转账。...3.3 系统架构模型由三层组成:数据摄取层:通过企业授权的 API(如 Microsoft Graph、Slack Events API)收集跨平台通信元数据(非完整内容,以保护隐私);行为图谱构建层:

    19010

    Office开发者计划-永久白嫖Office365

    【在Azure后台仪表盘下申请】,调用Office365 outlook邮箱接口、Azure Active Directory/Microsoft Identity账户登录接口、Microsoft Graph...所需配置 账户名称+账户密码+应用程序(客户端)ID 账户名称+客户端机密+应用程序(客户端)ID 功能影响 程序中所有API均可调用 部分API权限受限无法调用(官方限制) API权限配置 可由PC...,点击选择复制值(即客户端密码) b.API调用工具 ​ Microsoft Graph 浏览器是一种基于 Web 的工具,可用于生成和测试对 Microsoft Graph API 的请求 ​...API需要的权限设定可在预览卡中查阅,授权后则可再次尝试调用响应 ​ Postman 是一个可用于向 Microsoft Graph API 发出请求的工具:Postman&Microsoft...Graph API使用 ​ c.Microsoft Graph 快速入门示例 ​ Microsoft Graph入门: a.选择语言或平台 b.获取应用 ID(客户端 ID) c.生成示例

    11.4K32

    针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

    (2.4)横向移动与持久化获取邮箱访问权后,攻击者常利用“自动转发规则”窃取未来邮件,或通过Graph API读取联系人、会议记录,为下一轮攻击提供情报。...(5.1)系统架构前端:Outlook插件,提供举报按钮与可疑链接预览;中台:基于Microsoft Graph API的行为分析引擎;后台:条件访问策略管理与OAuth授权审计模块。...(5.2)关键功能代码示例自动检测并阻断恶意邮件转发规则:from microsoft_graph import GraphClientdef detect_malicious_forwarding(user_id...):rules = graph_client.get(f'/users/{user_id}/mailFolders/inbox/messageRules')for rule in rules['value...rule disabled for {user_id}")(5.3)实验结果在包含30名模拟议员的测试环境中,LegisShield实现:恶意OAuth应用授权拦截率:94%;凭证钓鱼页面访问阻断率:

    20310
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券