如何使用MS Graph Api以应用程序权限访问某人的收件箱 - 腾讯云开发者社区

文章/答案/技术大牛

发布

开源也能防钓鱼？CyberDrain推免费工具帮中小企业守住Microsoft 365大门

一旦用户点击“同意”，攻击者就获得了对该账户的长期访问权限，甚至能绕过MFA。...公共互联网反网络钓鱼工作组技术专家芦笛指出，“而Microsoft 365因其广泛使用和强大API能力，成了攻击者的首选目标。”...它不依赖外部SaaS服务，而是直接调用Microsoft Graph API，实时扫描租户内的高风险行为：检测异常收件箱规则：如自动转发至外部域名、删除特定关键词邮件等；识别可疑OAuth应用授权：尤其是请求...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...不过，工具也有门槛：部署者需具备一定的PowerShell或Python脚本能力，并为服务账号配置适当的Graph API权限（如AuditLog.Read.All、Directory.Read.All

1681 0

第三方开发者可以访问Gmail邮件？Google回应

本周一，华尔街日报的一篇报道提到了该事件：尽管Google去年终止了Gmail广告客户的数据挖掘服务，但它仍然留下了开放API供人使用。...此外，第三方应用也可以通过插件访问Gmail以及几乎其他任何电子邮件平台，以非常宽泛的范围（从消息内容和位置到相机和麦克风访问）请求用户的个人信息。...Google于The Verge评论，其已经表示会手动审查每个使用API的申请人来清除滥用者，但有消息人士告诉华尔街日报，谷歌对执行该规则的态度并不严谨。...如何检查第三方Gmail收件箱或删除第三方应用访问权限如果你觉得是时候审核所有可以访问Gmail收件箱的第三方应用，或者发现其中任何一个不值得信任或不必要，则可以撤销访问权限，因为你的电子邮件数据比任何其他社交媒体平台上的数据更敏感...Gmail收件箱的应用会在其条目下方显示一个名为“Has access to Gmail”的标签由于Google目前不提供去掉Gmail访问权限的方法，因此你可以通过点击“移除访问权限”按钮完全停用该应用的访问权限

2.5K2 0

您找到你想要的搜索结果了吗？

是的

没有找到

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

一旦得手，攻击者可立即利用Graph API遍历收件箱，提取包含财务、合同、人事等关键词的邮件线程，自动生成极具欺骗性的横向钓鱼内容，形成指数级扩散。面对此类攻击，仅依赖邮件层防护已显不足。...API遍历收件箱：import requestsACCESS_TOKEN = "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIs..." # 从AiTM获取headers =...以下为通过Microsoft Graph API创建条件访问策略的示例：policy = {"displayName": "Block risky logins to SharePoint","state...会话的User-Agent、IP、地理位置是否与共享创建者一致？通过构建会话图谱（Session Graph），将文件访问、登录、API调用等事件关联，可有效识别异常跳转链。...例如，若某会话在访问1drv.ms后5秒内出现在非微软域名的登录页，则极可能为钓鱼。6 结语利用OneDrive等可信云服务作为钓鱼跳板的攻击手法，标志着网络钓鱼已进入“信任滥用”新阶段。

3421 0

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

Graph API 的代码示例，验证防御措施的可行性。...一旦用户因恐慌拨打电话，攻击者便以“微软账单专员”身份进行话术诱导，要求用户下载 AnyDesk、TeamViewer 等远程控制软件，或引导其访问仿冒的微软登录页面输入凭据。...一旦获得权限，攻击者可通过 Microsoft Graph API 发送邀请。...Single User条件：同一用户在 1 小时内发送超过 5 次邀请响应：自动禁用该用户邀请权限并告警Graph API 查询示例：GET https://graph.microsoft.com/v1.0...；即使绕过（如使用管理员账户），邮件也被标记，用户识别率提升 78%。此外，通过 Graph API 监控，我们能在 5 分钟内检测到异常邀请模式并自动响应。

1750 0

针对exchange的攻击方式

，并提供各种接口给客户以访问Exchange服务, MAPI访问 POP3和IMAP4访问 Outlook Web App访问（OWA） Outlook Anywhere访问 Autodiscover自动发现服务...点击此处的权限，来到以下界面，这里的默认即所有用户(everyone) 的对此文件夹的权限，我这里是把权限给的很高实战中也可能会遇到用户A对用户B的收件箱有读写权限的情况，所以我们在获取用户A的凭据后可以进而读取用户...B的收件箱。...Trusted Subsystem 是 Exchange Windows Permission 的成员，能继承writedacl权限，有这个权限后就能使用dcsync导出所有用户hash。...组的成员信息，比如向里面加一个以获得的用户。

5.1K2 0

Office开发者计划-永久白嫖Office365

权限配置注册的应用程序API权限类型有两种，其主要区别如下表所示：权限类型委托的权限(用户登录) 应用程序权限(非用户登录) 官方释义应用程序必须以登录用户身份访问API 应用程序在用户未登录的情况下作为后台服务或守护程序运行...所需配置账户名称+账户密码+应用程序(客户端)ID 账户名称+客户端机密+应用程序(客户端)ID 功能影响程序中所有API均可调用部分API权限受限无法调用(官方限制) API权限配置可由PC...版程序自动配置添加API权限必须手动配置API权限可以选择相应的API进行配置此处以Microsoft Graph为参考，选择“委托的权限”，根据列出的API权限需求表进行选择...，可用于生成和测试对 Microsoft Graph API 的请求 API需要的权限设定可在预览卡中查阅，授权后则可再次尝试调用响应 Postman 是一个可用于向 Microsoft...Graph API 发出请求的工具：Postman&Microsoft Graph API使用 c.Microsoft Graph 快速入门示例 Microsoft Graph入门

11.4K3 2

工具系列 | HTTP API 身份验证和授权

介绍在用户使用API发出请求之前，他们通常需要注册API密钥或学习其他方法来验证请求。 API认证用户的方式各不相同。...用户的身份可以通过他所知道的，他拥有的或者他是什么来确定。在安全性方面，必须至少验证两个或所有三个身份验证因素，以便授予某人访问系统的权限。...身份验证因素单因素身份验证这是最简单的身份验证方法，通常依赖于简单的密码来授予用户对特定系统（如网站或网络）的访问权限。此人可以仅使用其中一个凭据请求访问系统以验证其身份。...所有因素应相互独立，以消除系统中的任何漏洞。金融机构，银行和执法机构使用多因素身份验证来保护其数据和应用程序免受潜在威胁。例如，当您将ATM卡输入ATM机时，机器会要求您输入您的PIN。...它验证您是否有权授予您访问信息，数据库，文件等资源的权限。授权通常在验证后确认您的权限。简单来说，就像给予某人官方许可做某事或任何事情。对系统的访问受身份验证和授权的保护。

3.4K2 0

网藤能力中心 | 深入Exchange Server在网络渗透下的利用方法

Exchange Web Service（EWS，SOAP-over-HTTP） Exchange提供了一套API编程接口可供开发者调用，用于访问Exchange服务器，与邮件、联系人、日历等功能进行交互和管理操作...主页设置功能的滥用在Outlook中，提供了一个功能允许用户在使用Outlook的时候设置收件箱界面的主页，可以通过收件箱的属性来设置加载外部URL，渲染收件箱界面。...邮箱用户可以通过Outlook设置自己邮箱各个文件夹的权限，通过权限设置可以委派给其他用户访问邮箱文件夹的权限，默认情况下存在两条访问规则，分别是默认规则和匿名规则，但其权限等级都为“无”。...如果用户通过该属性设置了邮箱文件夹（如收件箱、发件箱等）的委派权限给其他用户，但权限委派过于宽泛时，可能导致攻击者利用有权限的用户，间接获得目标邮箱用户的邮件访问权。...如下，用户zhangsan@fb.com设置了默认所有人对收件箱具有读取的权限。 Invoke-OpenInboxFinder用于查找和发现指定邮箱用户的文件夹是否存在危险的权限委派。

5.8K2 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

在此基础上，通过构建实验环境复现攻击过程，并提供关键代码示例以说明令牌交换与权限提升机制。随后，从身份治理、条件访问策略、日志监控及用户教育四个维度提出系统性防御框架。...一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用，client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”，并申请了以下API权限：Microsoft Graph: Mail.ReadWrite...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json

2561 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

本文系统分析了以Tycoon、EvilProxy为代表的新型钓鱼即服务（Phishing-as-a-Service, PhaaS）工具如何利用OAuth协议设计中的信任假设与实现缺陷，通过伪造合法应用、...；用户在授权服务器页面登录并同意权限请求；授权服务器生成授权码（Authorization Code），通过重定向返回至Client指定的redirect_uri；Client使用授权码、client_secret...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...以Tycoon为例，攻击者首先在Microsoft Entra ID开发者门户注册一个看似合法的应用（如“SecureDoc Viewer”），声明所需权限（如Mail.Read, Files.Read.All...由于应用名称与图标可自定义，且权限描述使用通用术语（如“读取您的邮件以提供服务”），用户极易误判为合法请求。

2891 0

Exchange漏洞攻略来啦！！

执行SPN名称查找的工具和方法有很多,直接以域内的一台工作机,通过setspn查询获得。...Exchange 的负担 /owa “Outlook Web APP” Exchange owa 接口,用于通过web应用程序访问邮件、日历、任务和联系人等 /powershell 用于服务器管理的...另一种邮箱文件夹的权限委托,相对隐蔽,在用户的指定文件夹上设置权限,即可使其他用户具有访问操作权限。主要利用可以参考 CVE-2018-8581,可以通过 ews 接口实现以上操作。...主页设置功能的滥用在 Outlook 中,提供了一个功能允许用户在使用 Outlook 的时候设置收件箱界面的主页,可以通过收件箱的属性来设置加载外部 URL,渲染收件箱界面。...,利用合法的邮箱凭证向服务端写入收件箱主页URL属性,当用户使用 Outlook 并从 Exchange 服务端同步该设置时,其随后对收件箱的刷新浏览将触发加载恶意网页,并执行恶意代码。

9K2 0

还原Facebook数据泄漏事件始末，用户信息到底是如何被第三方获取的？

这里有一份官方指南，本指南演示了从 Facebook 获取信息，并使用 Graph API 将信息发布到 Facebook 平台上的相关知识。...先决条件登录 Facebook 账户在单独的窗口中打开 Graph API Explorer 概述 Graph API Explorer 是一款应用程序，能够让你探索 Facebook 的社交图谱。...中读取数据首先是查询当你打开 Graph API Explorer 时，它将自动加载最新版本的 Graph API 和默认的 GET 请求，如：GET / me？...现在，在这个示例中将演示如何获取你相关的私人数据，如你的生日及你的身份信息等。访问令牌：因为你想要访问的是私人信息，因此系统需要你的访问令牌信息来获取相应的访问权限。...首先，选择一个应用程序并从 Application 的下拉菜单中执行删除操作。在这个例子中，我们使用的是 Graph API Explorer 。

5.3K5 0

一文读懂图数据库 Nebula Graph 访问控制实现原理

摘要：数据库权限管理对大家都很熟悉，然而怎么做好数据库权限管理呢？在本文中将详细介绍 Nebula Graph 的用户管理和权限管理。...Nebula Graph 本身是一个高性能的海量图数据库，数据库的安全问题更是数据库设计的重中之重。目前 Nebula Graph 已支持基于角色的权限控制功能。...在这篇文章中将详细介绍 Nebula Graph 的用户管理和权限管理。...和 ADMIN 的区别是 DBA 不能对某个 Account 进行授权操作，但 ADMIN 可以。 USER：普通的数据库使用角色。可读写 Data，可读 Schema 但没有写权限。...GUEST：访问者角色，对权限内 Space 的 Schema 和 Data 有只读权限。

1.5K3 0

你打出去的“客服电话”，正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板，回拨型攻击席卷全球企业

一封来自 no-reply@teams.mail.microsoft.com 的邮件静静躺在某跨国制造企业IT主管的收件箱里。主题是：“你在‘财务Q4结算’会议中被提及”。...“这是微软安全中心工单#MS-2026-XXXX，请提供您的计算机名以便接入。”...）；授予“临时管理员权限”以“清除恶意进程”。...邮件层：增强Teams通知监控限制Teams外部邀请：在Microsoft 365管理中心配置策略，禁止非组织成员创建团队或邀请用户；监控异常团队命名：通过Microsoft Graph API定期扫描团队名称...，识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体；# 示例：通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups

2561 0

快讯 | Gmail邮件门：第三方开发者可能正在读你的邮件！

这意味着，一年前谷歌虽然保证不再扫描Gmail用户的收件箱，但谷歌却没有采取任何举措来保护Gmail用户的收件箱不为外部开发人员所读取。...如何预防那么，如何了解哪些应用程序访问你谷歌帐户以及如何阻止它们？Business Insider给出了以下的可行措施。 1.从你的谷歌帐户主页点击登录 ?...3.选择“Manage Apps”以查看更多细节。 ? 之后所有应用程序的访问状态将一览无余。 3.谷歌将访问你帐户的应用程序分三类 ?...虽然应用程序的开发者不能更改你的密码，不能删除你帐户，也不能代表你使用谷歌支付，但是他们可以阅读你的电子邮件。所以，你应该确保你所使用的第三方程序是安全的。...然后，该应用程序会从你的允许访问列表中消失，并且它再也不能窥探你的小秘密了。

1.4K5 0

手机号定位最简单的几种方法

具体操作如下：在目标手机上下载应用程序并设置账户。授予必要的权限，如位置和通知访问权限。现在，该应用程序将记录位置数据，并可在仪表板上查看。...它们一般是这样工作的：下载应用程序并授予联系人访问权限。输入要查询的电话号码。应用程序会搜索在线和电话数据库。如果找到了电话号码的定位历史记录，应用程序就会将其显示在地图上。...此外，允许应用程序访问您的通讯录还存在巨大的隐私问题。付费并不能保证信息的准确性或及时性。请谨慎使用此类声称可以追踪电话号码的定位应用程序。...大多数免费方法都存在隐私风险、信息过时或需要不必要权限等缺点。总之，在尝试使用电话号码跟踪某人的历史位置时，请谨慎行事。只选择可靠和知名的解决方案。...因此，您可以随时从个人控制面板访问位置数据。如何在他人不知情的情况下追踪其位置？如果您想在某人不知情的情况下跟踪其位置，您有几种选择。

9.4K1 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

你有没有收到过这样的邮件？“您的 Microsoft 账户需要立即完成安全验证。请访问 https://aka.ms/devicelogin，输入以下代码：**ABCD-EFGH**。”...与传统钓鱼依赖伪造登录页不同，此次攻击全程使用真实的微软认证界面，绕过绝大多数安全培训与技术防护，堪称“合法外衣下的权限劫持”。...“您的 OneDrive 存储即将锁定，请验证设备以继续使用。”...更隐蔽的是，攻击者可申请最小必要权限（如仅 Mail.Read），避免触发高风险权限警报。而企业若未启用条件访问（Conditional Access）策略，这类低权限授权几乎不会被审计系统标记。...必须教育员工：任何要求你访问 aka.ms/devicelogin 的请求都需先联系 IT 确认；授权前务必点击“查看此应用将访问哪些数据”；若未主动发起设备登录，绝不要输入任何代码。

3341 0

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

本文基于2024至2025年公开威胁情报、厂商报告及实验复现，系统分析俄罗斯、中国、朝鲜背景的国家支持黑客与勒索软件运营者如何共同采用并优化设备代码钓鱼技术，以实现对云身份基础设施的持久化入侵。...在此基础上，提出以“最小授权”“条件访问”“FIDO2强认证”为核心的纵深防御框架。...此外，不同攻击者使用的client_id、应用名称、权限请求高度相似，使得基于TTPs的归因变得困难。...留空（设备授权无需回调）API权限：勾选Microsoft Graph的Delegated权限，如：Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...此外，OAuth权限模型本身存在粒度不足问题。例如，Mail.ReadWrite权限无法限定为“仅收件箱”，这使得即使合法应用也可能被滥用于数据窃取。未来需推动更细粒度的权限委托机制。

2341 0

图解：消息传输的架构模式

发布-订阅发布-订阅（Pub-Sub）模式指的是发布者将消息发送到消息代理（broker）上的主题（topic）。你可以将主题视为一个收件箱。这个收件箱的概念根据实现技术而有不同的名称。...（请参见下面的图 2）扇出模式将向所有感兴趣的订阅者发送消息的副本 Twitter 是扇出模式的一个很好的例子。某人发送一条推文后，推文会发送给所有粉丝。...互联网的路由机制知道如何找到这个 Web 服务器并相应地传递请求（又称消息）。然后，该 Web 服务器使用相同的路由机制将响应消息发送回调用方。...接收方可以使用 CDN 从互联网上距离它最近的服务器接收数据。总结如果你是在应用程序开发活动中一直在使用消息传输的架构师或开发人员，则很可能已经很熟悉上面介绍的模式了。...这些模式中有的名字你可能之前没见过，但实际的实现一看就能认出来。用通用名称封装消息传输模式的好处在于，它允许架构师和开发人员以相同的方式讨论同一件事。对消息传输模式使用常规名称可以节省时间。

7892 0

Facebook Graph API(1)—介绍

Facebook提供三种low-level HTTP APIS去访问Facebook Graph. 1.Graph API 2.FQL(过期) 3.Legacy REST API(过期) 为什么要学习Graph...API 1.Open Graph可以让广大用户发现你的应用或者业务 2.可以加入更多社交内容，你的朋友可能会对你的内容感兴趣 3.使用Facebook Login统一登录，可以减少投入，并且可以跨不同设备...所有的东西在Open Graph中都有ID Graph API使用的HTTP请求，GET for read, POST for modify & add, DELETE to remove nodes....Login, Authorization and Permissions 登录，授权和权限使用Graph API访问数据需要先理解的几个专业术语。...Access Token: 访问令牌是在授权过程中一个特殊的字符才能，它表示一组已授予的权限，并且可以用在一个特定的应用程序或者一个特定人上。

2.8K8 0

点击加载更多

开源也能防钓鱼？CyberDrain推免费工具帮中小企业守住Microsoft 365大门

第三方开发者可以访问Gmail邮件？Google回应

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

针对exchange的攻击方式

Office开发者计划-永久白嫖Office365

工具系列 | HTTP API 身份验证和授权

网藤能力中心 | 深入Exchange Server在网络渗透下的利用方法

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

高级OAuth钓鱼攻击的演化机制与防御体系构建

Exchange漏洞攻略来啦！！

还原Facebook数据泄漏事件始末，用户信息到底是如何被第三方获取的？

一文读懂图数据库 Nebula Graph 访问控制实现原理

你打出去的“客服电话”，正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板，回拨型攻击席卷全球企业

快讯 | Gmail邮件门：第三方开发者可能正在读你的邮件！

手机号定位最简单的几种方法

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

图解：消息传输的架构模式

Facebook Graph API(1)—介绍

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐