如何为本地用户访问Microsoft Graph API数据 - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...关键词：OAuth 同意滥用；假冒微软应用；Entra ID；多因素认证绕过；Graph API；条件访问1 引言多因素认证（MFA）作为现代身份安全的核心防线，已在绝大多数企业环境中广泛部署。...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中，第三方应用若需访问用户资源（如邮件、日历），必须通过OAuth 2.0授权码流程获取权限。...；应用使用令牌调用Microsoft Graph API。...3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志，也因数据量庞大而忽略异常。3.4 审计滞后企业极少定期审查已授权应用列表。

2391 0

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

一、一场“巧合”的攻击暴露了更危险的趋势2025年10月，一家位于德国的能源企业安全团队在例行日志审计中发现异常：多个高管账户在凌晨时段调用了Microsoft Graph API，读取了大量内部邮件和...其核心逻辑是：让用户在有输入能力的设备（如手机）上完成授权，从而让受限设备获得访问令牌。...他们提前注册一个看似合法的Azure AD应用（如“DocSync Helper”），然后诱导受害者：访问一个伪造的“文档协作页面”；复制屏幕上显示的“设备代码”；前往真实的微软设备登录页（https:...一旦确认，攻击者的轮询脚本立即获得Access Token，并可调用任意Graph API权限。...、高频API调用）；使用Microsoft Defender for Cloud Apps设置异常活动告警，如“单用户1小时内下载10GB OneDrive数据”。

1611 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

本文聚焦于2025年披露的一类高隐蔽性钓鱼攻击：攻击者诱导用户授权伪装成合法工具的恶意OAuth应用，利用其申请的高权限API作用域（如Mail.Read、Files.ReadWrite.All），在无需密码或一次性验证码的情况下访问邮箱...本文不依赖厂商宣传或推测性归因，而是基于公开可验证的日志数据、应用注册元数据及API调用模式，深入剖析此类攻击的技术实现逻辑，并据此构建可落地的防御体系。...、redirect_uri、scope等参数；用户输入凭证并完成MFA；显示OAuth同意页面：列出所请求的权限（如“读取你的邮件”）；用户点击“同意”：Microsoft颁发授权码；第三方应用用授权码换取访问令牌...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

2501 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

关键词：设备代码钓鱼；OAuth 2.0；Microsoft 365；Azure AD；身份安全；条件访问1 引言Microsoft 365作为全球广泛部署的企业级生产力平台，其安全性直接关系到组织核心数据资产的完整性与保密性...一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用，client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”，并申请了以下API权限：Microsoft Graph: Mail.ReadWrite...未来需推动更细粒度的权限委托机制（如Microsoft Graph Delegated Permissions with Scopes Restriction）。另一个挑战是刷新令牌的长期有效性。

1971 0

Windows快速搭建FTP服务器

勾选上图中的几个选项（FTP服务，FTP扩展性、 IIS元数据库和IIS配置兼容性、IIS管理服务、IIS管理脚本和工具、IIS管理控制台），然后点击确定等待windows完成配置。...2.3 测试FTP站点如果上一步中开启了匿名访问和自动启动，则可以直接打开浏览器访问FTP地址，如：ftp://172.30.32.139:21 若未开启匿名访问，则需要输入当前系统的用户名和密码即可访问自己的...如果有跟楼主一样使用windows 家庭版的，看不到本地用户和组选项的，可以采用以下办法创建用户。...(1) 打开设置 -> 账户 (2) 选择家庭和其他用户 -> 将其他人添加到这台电脑 (3) 电脑处于断网状态会直接弹出添加本地用户的界面，电脑联网状态会弹出创建Microsoft用户的页面...，选择我没有这个人的登录信息 (4) 然后选择添加一个没有Microsoft账户的用户 (5) 然后按照要求创建本地用户即可这样就可以使用这个用户登录ftp了。

21.4K4 0

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

它不依赖外部SaaS服务，而是直接调用Microsoft Graph API，实时扫描租户内的高风险行为：检测异常收件箱规则：如自动转发至外部域名、删除特定关键词邮件等；识别可疑OAuth应用授权：尤其是请求...技术内核：Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效，得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...不过，工具也有门槛：部署者需具备一定的PowerShell或Python脚本能力，并为服务账号配置适当的Graph API权限（如AuditLog.Read.All、Directory.Read.All...实施条件式访问（Conditional Access）策略：例如，限制仅公司IP或合规设备可访问敏感数据。长期保留审计日志：默认日志仅保留30天，建议通过Azure订阅延长至1年以上，便于事后溯源。

1631 0

微软Build 2019|发布多项产品、服务，涵盖VRAR、AI、云等领域

Build大会现场便展示了《Spatial》如何让远程PC用户通过网络与本地用户进行沟通：远程PC用户在《Spatial》中以2D视频窗口的形式出现，并与3D内容进行交互。 ?...微软宣布，所有登陆GitHub代码托管服务的用户，都可以通过提供登陆凭证来访问Azure云工具。...微软表示会在.NET 5中引入新的.NET API、运行时间功能和语言功能。 Microsoft Search ?...Microsoft Graph 在本次大会中，Microsoft Graph也获得了更新，用户能够将企业客户的业务数据与Microsoft Graph进行整合，并通过Azure Data Factory...对Microsoft Graph的数据迁移进行管理。

1.6K2 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

一旦攻击者控制企业高管或IT管理员的邮箱、云文档或身份管理后台，即可利用B2B协作信任链发起供应链攻击——例如伪造合作方邮件、篡改共享合同、或通过合法API导出敏感数据。...对于Microsoft Entra ID，关键令牌包括：Session Cookie：如ESTSAUTHPERSISTENT，有效期可达90天；Refresh Token：用于在后台静默获取新的访问令牌...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...Microsoft Graph提供/revokeSignInSessions API，可编程终止可疑会话：import requestsdef revoke_suspicious_sessions(user_id...Defender for Identity的异常登录告警（如非常规时间、新国家访问），可实现分钟级响应。

2391 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

尤其在Microsoft 365、Google Workspace等企业生产力平台中，OAuth被深度集成于单点登录（SSO）、API调用、跨应用数据共享等关键场景。...；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...Access）对高敏操作（如访问财务邮箱、导出数据）强制设备合规性检查与令牌绑定。...以下Python脚本利用Microsoft Graph API实现自动化审计：import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

2831 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

它允许第三方应用在不获取用户密码的前提下，访问用户在其他服务（如 Google、Microsoft）上的资源。...Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep(5)else:...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近...推荐策略：对包含 offline_access（即请求 Refresh Token）的授权请求强制执行 MFA；阻止从未知国家/地区的登录尝试；对非托管设备（如个人手机）限制访问敏感数据。4....必须教育员工：任何要求你访问 aka.ms/devicelogin 的请求都需先联系 IT 确认；授权前务必点击“查看此应用将访问哪些数据”；若未主动发起设备登录，绝不要输入任何代码。

2831 0

凭证窃取主导下的现代网络攻击链演化与防御体系构建

尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中，一旦主账户凭证失窃，攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄，而平均检测延迟仍超过...典型路径如下：钓鱼获取员工凭证（含MFA绕过，如MFA疲劳攻击）；登录云控制台（如Azure AD、AWS IAM）；枚举高权限账户或服务主体；申请或窃取OAuth令牌/会话Cookie；通过Graph...API或REST接口横向移动；部署勒索载荷或导出数据。...此过程中，攻击者无需部署恶意软件，全程利用合法API调用，规避传统EDR检测。思科报告显示，73%的勒索事件中，攻击者在获得凭证后4小时内完成数据加密或外传。...3.2 勒索软件的“凭证即服务”模式勒索组织如LockBit 4.0、BlackCat已建立成熟的初始访问即服务（Initial Access as a Service, IAaaS）市场。

2461 0

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

一旦得手，攻击者可立即利用Graph API遍历收件箱，提取包含财务、合同、人事等关键词的邮件线程，自动生成极具欺骗性的横向钓鱼内容，形成指数级扩散。面对此类攻击，仅依赖邮件层防护已显不足。...为保护数据安全，您需重新登录Microsoft账户以解密查看。[立即查看文档]其中，“[立即查看文档]”按钮实际指向上述合法共享链接。...以下为通过Microsoft Graph API创建条件访问策略的示例：policy = {"displayName": "Block risky logins to SharePoint","state...（CASB）监控共享行为CASB可集成Microsoft 365审计日志，检测异常共享模式，例如：单账户在1小时内创建超过50个“任何人可访问”链接；共享对象为非工作相关文件类型（如.exe、.scr）...通过构建会话图谱（Session Graph），将文件访问、登录、API调用等事件关联，可有效识别异常跳转链。例如，若某会话在访问1drv.ms后5秒内出现在非微软域名的登录页，则极可能为钓鱼。

3101 0

C#——Web.config中的Integrated Security=SSPI

问题由来之前在进行机房收费系统个人重构的时候，配置文件访问数据库，用的是这种方式，如： string="server=localhost;database=pubs;uid=...数据库的两种身份验证模式 ? ...混合模式验证就比较复杂，当本地用户访问sql时候采用windows身份验证建立信任连接，当远程用户访问时由于未通过windows认证，而进行sql server认证（使用sa的用户也可以登录sql），建立...Intergrated Security =SSPI SSPI:Security Support Provider Interface（Microsoft安全支持提供器接口）,定义得较全面的公用...API，用来获得验证、信息完整性、信息隐私等集成安全服务，以及用于所有分布式应用程序协议的安全方面的服务。

1.6K2 0

将终结点图添加到你的ASP.NET Core应用程序中

这一切都是必要的，因为DfaGraphWriter写入TextWriter使用同步 Stream API调用，如Write，而不是WriteAsync。...安装Microsoft.AspNetCore.Mvc.Testing 将测试项目的元素更新为Microsoft.NET.Sdk.Web"> 从测试项目中引用您的...这避免了公开（可能敏感）的终结点图，同时仍然允许轻松访问数据。最后，我讨论了何时可以在应用程序的生命周期中生成图形。...该EndpointDataSource未填充，直到后Server（Kestrel）已经开始，所以你主要限于在请求上下文访问数据。...IHostedService和IStartupFilter执行得太早以至于无法访问数据，IHostBuilder.Build()只是构建DI容器，而没有构建中间件管道。

5.3K2 0

Office开发者计划-永久白嫖Office365

权限配置注册的应用程序API权限类型有两种，其主要区别如下表所示：权限类型委托的权限(用户登录) 应用程序权限(非用户登录) 官方释义应用程序必须以登录用户身份访问API 应用程序在用户未登录的情况下作为后台服务或守护程序运行...版程序自动配置添加API权限必须手动配置API权限可以选择相应的API进行配置此处以Microsoft Graph为参考，选择“委托的权限”，根据列出的API权限需求表进行选择...调用工具 Microsoft Graph 浏览器是一种基于 Web 的工具，可用于生成和测试对 Microsoft Graph API 的请求 API需要的权限设定可在预览卡中查阅...，授权后则可再次尝试调用响应 Postman 是一个可用于向 Microsoft Graph API 发出请求的工具：Postman&Microsoft Graph API使用 ...c.Microsoft Graph 快速入门示例 Microsoft Graph入门： a.选择语言或平台 b.获取应用 ID（客户端 ID） c.生成示例 d.登录，然后查看日历上的事件 PHP

11.4K3 2

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

Graph API 的代码示例，验证防御措施的可行性。...邀请可通过以下方式发起：手动邀请：管理员或具有“Guest Inviter”角色的用户通过 Azure 门户、Microsoft Graph API 或 PowerShell 发送邀请。...一旦获得权限，攻击者可通过 Microsoft Graph API 发送邀请。...Single User条件：同一用户在 1 小时内发送超过 5 次邀请响应：自动禁用该用户邀请权限并告警Graph API 查询示例：GET https://graph.microsoft.com/v1.0...；即使绕过（如使用管理员账户），邮件也被标记，用户识别率提升 78%。此外，通过 Graph API 监控，我们能在 5 分钟内检测到异常邀请模式并自动响应。

1650 0

PwnAuth——一个可以揭露OAuth滥用的利器

API——资源客户端希望访问的目标应用程序。在本例中，Microsoft OneDrive API 终端是资源。资源拥有者允许访问其部分帐户的人员。在本例中，就是你。...服务器可以与API资源相同，或者是另一个不同的组件。在本例中，Microsoft登录门户是“授权服务器”。范围范围定义为第三方应用程序请求的访问类型。...访问令牌可以在设定的时间段内使用，从API资源访问用户的数据，而无需资源所有者采取任何进一步的行动。...攻击者可能会创建恶意应用程序，并使用获取的访问令牌通过API资源获取受害者的帐户数据。访问令牌不需要知道用户的密码，并能绕过双因素认证。...虽然任何允许OAuth应用程序的云环境都可以成为目标，但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序，捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API

2.5K2 0

Spring Boot 实现微信、QQ 绑定登录

在现代应用程序中，第三方登录（如微信和QQ登录）已成为提高用户注册和登录体验的重要功能。本文将介绍如何使用Spring Boot实现微信和QQ的绑定登录功能。 1..../sns/oauth2/access_token user-info-uri: https://api.weixin.qq.com/sns/userinfo...运行项目启动Spring Boot应用，访问http://localhost:8080/login，选择QQ或微信登录，即可实现第三方登录功能。 9....处理用户信息在实际应用中，我们可能需要将第三方用户信息与本地用户进行绑定。可以在OAuth2UserService中进行处理，将第三方用户信息保存到本地数据库，并进行用户绑定。...在实际应用中，还可以根据具体需求进行更多的定制和扩展，如处理用户绑定、实现单点登录等。希望本文能够帮助你快速实现微信和QQ的绑定登录功能。

7221 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

若用户已处于活动会话（即已登录Outlook Web），系统将直接显示授权同意页面，列出请求的权限范围（如“读取您的邮件”、“访问您的文件”）。...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...Cloud Apps或自建SIEM规则，检测以下信号：新注册应用请求高权限；用户短时间内多次授权不同应用；授权后立即调用高风险API（如批量导出邮件）。...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1901 0

点击加载更多

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

推荐一个企业级知识图谱增强的检索增强生成(RAG)的项目

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

Windows快速搭建FTP服务器

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

微软Build 2019|发布多项产品、服务，涵盖VRAR、AI、云等领域

VoidProxy平台对多因素认证的绕过机制与防御对策研究

高级OAuth钓鱼攻击的演化机制与防御体系构建

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

凭证窃取主导下的现代网络攻击链演化与防御体系构建

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

C#——Web.config中的Integrated Security=SSPI

将终结点图添加到你的ASP.NET Core应用程序中

Office开发者计划-永久白嫖Office365

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

PwnAuth——一个可以揭露OAuth滥用的利器

Spring Boot 实现微信、QQ 绑定登录

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐