文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

Office开发者计划-永久白嫖Office365

权限配置 注册的应用程序API权限类型有两种,其主要区别如下表所示: 权限类型 委托的权限(用户登录) 应用程序权限(非用户登录) 官方释义 应用程序必须以登录用户身份访问API 应用程序在用户未登录的情况下作为后台服务或守护程序运行...版程序自动配置添加API权限 必须手动配置API权限 ​ 可以选择相应的API进行配置 ​ 此处以Microsoft Graph为参考,选择“委托的权限”,根据列出的API权限需求表进行选择...,可用于生成和测试对 Microsoft Graph API 的请求 ​ API需要的权限设定可在预览卡中查阅,授权后则可再次尝试调用响应 ​ Postman 是一个可用于向 Microsoft...Graph API 发出请求的工具:Postman&Microsoft Graph API使用 ​ c.Microsoft Graph 快速入门示例 ​ Microsoft Graph入门...maven依赖,随后编写接口测试 ​ 主要步骤说明:注册应用、身份验证、API调用 其API调用核心思路为 创建一个authProvider用户凭据(根据实际身份验证的方式获取,不同渠道构建方式不同

11.4K32
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

    如果安全团队试图封锁所有来自这些域名的可疑链接,将会导致大量的误报,严重影响正常办公。如何在保持白名单便利性的同时,识别出被滥用的合法链接,是当前防御的一大难题。...以下是一个基于Python的示例,演示如何利用Microsoft Graph API查询SharePoint共享活动,并基于启发式规则识别异常模式。...", "supplier-b.net", "client-c.org"}def get_access_token(self) -> str:"""获取Microsoft Graph API访问令牌"""...}/auditLogs/directoryAudits" # 简化示例,实际应使用unifiedAuditLogs# 注:Graph API中统一审计日志的端点可能需要特定权限和不同的查询方式# 此处仅为逻辑演示...fetch_sharing_activities函数负责从Microsoft Graph API拉取审计日志(实际部署中需处理分页和API限流)。

    11610

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    摘要近年来,攻击者利用Microsoft Entra ID(原Azure AD)的多租户应用注册机制,创建高度仿真的假冒OAuth应用,诱导用户在合法微软授权页面授予高权限(如Mail.Read、User.ReadWrite.All...此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...其中,利用OAuth 2.0授权框架中的“用户同意”(User Consent)机制实施的钓鱼攻击,因其完全运行于合法认证流程之内,成为当前最隐蔽且最具破坏力的威胁之一。...2025年8月,Proofpoint披露了一起大规模钓鱼活动,攻击者使用Tycoon Phishing-as-a-Service平台创建了超过50个假冒Microsoft 365应用,伪装成Adobe...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。

    24710

    GraphRAG:终极 RAG 引擎 - 语义搜索、嵌入、矢量搜索等等!

    接着输入cd graph rag进入目录,并输入export graph rag_API_key填入你的API密钥。 你需要创建一个输入文件夹以存放所有文件或文档。...在下一个步骤中,输入命令python -m graph rag index以对当前文档进行索引,然后将可以开始与该文档进行对话。 每次处理新文件时都需要进行索引。...你还可以在.env文件中粘贴你的API密钥,如果使用其他模型,可以在此处进行配置。配置完成后,保存文件并运行代码。 最后,运行以下命令以启动对话:python -m graph rag query。...快速入门 建议使用 Solution Accelerator 包,该包提供了与 Azure 资源的端到端用户体验。 代码库指南 此代码库展示了如何利用知识图谱记忆结构来增强 LLM 输出。...• GraphRAG 的预期用途是什么? • GraphRAG 如何评估?使用了哪些性能指标? • GraphRAG 的局限性是什么?用户如何将其影响降到最低?

    2.5K10

    钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究

    本文聚焦于这一范式转变,深入剖析PhaaS如何降低攻击门槛、AitM如何实现MFA绕过,并评估现有防御措施的局限性。...攻击流程如下:用户点击钓鱼邮件中的链接,访问攻击者控制的仿冒登录页(如secure-microsoft-login[.]xyz);该页面实际是一个反向代理,将用户所有请求(包括输入的用户名、密码、MFA...动态码在有效窗口内被使用推送通知(如Microsoft Authenticator) 部分 若用户习惯性批准,仍可绕过FIDO2/WebAuthn(安全密钥) 否(理想情况下) 绑定特定RP(Relying...以下Python脚本模拟检测异常会话(基于Microsoft Graph API):import requestsfrom datetime import datetime, timedeltaGRAPH_API_TOKEN...,应立即撤销用户所有活动会话:POST https://graph.microsoft.com/v1.0/users/{user-id}/revokeSignInSessionsAuthorization

    29810

    ConsentFix攻击机制与OAuth授权滥用的防御对策研究

    若用户已处于活动会话(即已登录Outlook Web),系统将直接显示授权同意页面,列出请求的权限范围(如“读取您的邮件”、“访问您的文件”)。...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...更严重的是,refresh_token可长期使用(默认90天,可配置更长),即使用户更改密码,授权依然有效。...(二)策略管理层:建立授权生命周期管理定期授权审计:每季度导出全组织应用授权清单,清理未使用或来源不明的应用;实施最小权限原则:推动业务部门使用权限更细的现代API(如Microsoft Graph的delegated...permissions with scopes);自动化撤销机制:当检测到可疑活动时,自动调用Microsoft Graph API撤销相关应用授权:# 使用Microsoft Graph API撤销用户授权

    19310

    基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

    据CyberPress披露,攻击者通过已被攻陷的Microsoft 365账户创建真实的OneDrive或SharePoint文件共享链接,并在邮件中嵌入“文档已安全加密,请登录查看”等诱导性文案,大幅提升用户点击意愿...2025年披露的新型钓鱼活动表明,攻击者不再直接发送含恶意域名的邮件,而是先控制一个合法Microsoft 365账户,利用其创建真实的共享链接,再通过页面内嵌元素引导用户至仿冒登录界面。...此类攻击的核心在于“信任传递”:第一跳使用微软官方域名,确保邮件顺利投递;第二跳则隐藏于用户交互之后,逃避静态URL扫描。...以下为通过Microsoft Graph API创建条件访问策略的示例:policy = {"displayName": "Block risky logins to SharePoint","state...会话的User-Agent、IP、地理位置是否与共享创建者一致?通过构建会话图谱(Session Graph),将文件访问、登录、API调用等事件关联,可有效识别异常跳转链。

    34210

    今天,GPT-4登陆Office全家桶,打工人的生产方式被颠覆了

    现在,借助 Microsoft 365 Copilot,我们通过先进 AI 和最通用的用户界面 —— 自然语言,赋予人们更多的能力,并使技术更易于访问。」...Copilot 同样能让 Excel 的效率光速提升。任何打工人可以使用 Copilot 即时创建 SWOT 分析、基于数据的 PivotTable,或是其他原本相当复杂的流程。...来自 Microsoft Graph 的神秘力量 人工智能很容易犯错,即使是像 GPT-4 这样的模型也会犯愚蠢的错误。所以,Copilot 如何尽量避免工作失误呢?...给 Copilot 的 prompt 首先会通过 Microsoft Graph(Microsoft 的统一数据 API)进行过滤,以获取更多上下文。.../microsoft-365-ai-copilot-word-outlook-teams 探寻隐私计算最新行业技术,「首届隐语开源社区开放日」报名启程 春暖花开之际,诚邀广大技术开发者&产业用户相聚活动现场

    2.8K50

    设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

    本文聚焦于近期在Microsoft 365环境中频发的“设备代码钓鱼”(Device Code Phishing)攻击,深入剖析攻击者如何滥用OAuth 2.0设备授权流程,在不获取用户密码的前提下实现账户接管...攻击者通过伪造IT部门通知、安全警报或软件更新提示,诱使用户访问看似合法的指令页面,并要求其在https://microsoft.com/devicelogin 输入一串六位字母数字组合的设备代码。...,成功获取access_token与refresh_token;利用令牌调用Microsoft Graph API,读取邮件、日历、联系人,甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用,client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”,并申请了以下API权限:Microsoft Graph: Mail.ReadWrite...随后,攻击者可使用该令牌调用Graph API:# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json

    25610

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    这不是科幻剧情,而是正在全球蔓延的真实攻击。...一旦用户输入代码并点击“下一步”,系统会要求其使用 Microsoft 365 账户登录——此时 MFA 可能被触发,用户收到短信或 Authenticator 推送通知,并完成验证。...Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep(5)else:...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:# 示例:读取受害者最近...“安全不是一道墙,而是一套动态响应机制。”芦笛总结道,“企业必须从‘被动防御’转向‘主动狩猎’。”五、行业反思:便利与安全的天平该如何摆?

    33410

    【壹刊】Azure AD 保护的 ASP.NET Core Web API (下)

    一,引言 上一节讲到如何在我们的项目中集成Azure AD 保护我们的API资源,以及在项目中集成Swagger,并且如何把Swagger作为一个客户端进行认证和授权去访问我们的WebApi资源的?...本节就接着讲如何在我们的项目中集成 Azure AD 保护我们的API资源,使用其他几种授权模式进行授权认证,好了,开始今天的表演。 二,正文 1,access_token的剖析!  ...其实不难看出,这个账号就是我们当前azure portal的登录账号,也是当前订阅的管理员账号,而且我们在创建MyCommany这个租户的时候也是使用的当前登录的账号,所有当前登录的账号也就自然而然的成为当前租户下应用注册的资源所有者...此处应该有掌声,成功的通过验证,并且获取到 api资源,但是这种模式是最不推荐的,因为client可能存了用户密码,此模式仅用于受信任的客户端。复制会发生密码泄露。所以不推荐使用。...://graph.microsoft.com/.default。

    3K10

    VoidProxy平台对多因素认证的绕过机制与防御对策研究

    /响应中继,并在检测到Microsoft的持久化认证Cookie(ESTSAUTHPERSISTENT)时触发日志记录,供攻击者后续使用。...,即使用户登出仍有效;Access Token:短期有效(通常1小时),但可用于调用Microsoft Graph API。...例如,若受害者通常使用Windows 11 + Chrome 124访问Office 365,攻击者将配置代理以相同特征发起API请求,使登录活动在审计日志中呈现为“正常行为”。...Microsoft Graph提供/revokeSignInSessions API,可编程终止可疑会话:import requestsdef revoke_suspicious_sessions(user_id...DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌,该私钥与TLS连接绑定。即使攻击者窃取Access Token,也无法在其他连接中使用。

    24810

    广州 office365的开发者训练营交流活动简报

    2018年10月13日,在 微软广州办公室(广州市天河区太古汇1座28层微软广州办公室) 成功举办了office365的开发者训练营,本活动在微软官网的地址: https://www.microsoft.com...作为一名开发人员,您可以使用每天使用的工具创建智能、连接的产品和解决方案。 Office 365 开发者训练营是一个免费的,为期一天的培训活动,由微软MVP领导,并得到微软的支持。...我们将在Office 365平台上为最新和最伟大的技术和产品(Microsoft Graph、SharePoint Framework、Microsoft团队、Office Addin、 Connect...在这次活动中,我们分享的具体主题是: Office 365平台机会和概述,关键技术和产品: 在这个主题分享中,李强从大格局角度引领我们认识Office 365生态,比如我们要盯着华为一年1000亿钱撒过来的时候如何能够接住...使用 REST 和 OpenID 获取连接Token并连接到 Microsoft Graph, 并创建请求其他权限的 web 应用程序: 在这个主题分享中,我更多的是从OpenId connect规范

    1.2K30

    国家级黑客与黑产“共用武器库”:M365设备代码钓鱼成云时代通用入侵钥匙

    一、一场“巧合”的攻击暴露了更危险的趋势2025年10月,一家位于德国的能源企业安全团队在例行日志审计中发现异常:多个高管账户在凌晨时段调用了Microsoft Graph API,读取了大量内部邮件和...直到他们比对了攻击基础设施——两起行动都使用了同一个名为 Graphish 的开源钓鱼套件,且轮询脚本中的User-Agent字符串高度一致。“这不是模仿,而是共享。”...此时,受害者实际上是在向攻击者控制的应用授权!一旦确认,攻击者的轮询脚本立即获得Access Token,并可调用任意Graph API权限。...API创建新账户;通过Exchange Online PowerShell执行邮箱导出;部署Cobalt Strike Beacon,最终投放勒索软件。...(如非常规地理位置、高频API调用);使用Microsoft Defender for Cloud Apps设置异常活动告警,如“单用户1小时内下载10GB OneDrive数据”。

    17310

    微软Build 2019有“料”!实现隔空办公、云与AI全面贯彻,惊艳不止三两处

    人工智能未来关注的核心在于数据和机器学习,并不是靠规则、意向或者代码构建的强大会话接口。...要知道Microsoft 365能够为各类企业提供集成、安全的生产力体验,而Microsoft Graph则是可用的最全面的组织活动图之一,它能够展现组织环境中人员、信息和活动之间的关系,以显示连接点和见解...本次大会,微软宣布Microsoft Graph数据连接服务正式商用,可帮助组织使用Azure Data Factory将Microsoft Graph中的生产力数据与其自己的业务数据安全地大规模集中在一起...该框架允许团队在自由流动的流程上工作,打破了传统文件的障碍。功能方面或许能够实现,当使用者在Web或者生产力应用程序中启用内容时,可将其分解,并能够重新构建模块化组件,方便人们更加轻松地共同创建内容。...目前微软已经证实这些功能都将出现在新版的Microsoft Edge浏览器上,但微软表示不知道何时会提供给公众使用,其表示想尝鲜的用户,可以通过下载Microsoft Edge开发版本或者Canary金丝雀版本进行测试

    83930

    基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

    摘要2025年第三季度,网络安全机构监测到多起针对Microsoft 365(M365)用户的高级钓鱼攻击活动。...2 攻击链技术剖析2.1 情境化诱饵构造攻击者精心选择三类高频场景作为诱饵:存储配额警告:“您的OneDrive存储空间已使用95%”;密码策略提醒:“您的密码将在24小时内过期,请立即更新”;文档协作请求...获得有效会话后,攻击者通过Graph API注册恶意OAuth应用:POST https://graph.microsoft.com/v1.0/applicationsContent-Type: application...3 现有防护机制的局限性当前企业普遍采用以下措施,但在面对上述攻击时存在明显短板:邮件网关过滤:难以识别托管于合法云服务的钓鱼页;用户安全意识培训:无法克服“生产力惯性”下的自动化响应;基础MFA启用:...应转向情境化训练:演示如何检查浏览器地址栏中的根域名(如login.microsoftonline.com而非microsoft-office.com);教育用户:MFA推送不应在无主动登录时出现;推广

    23710

    Windows Community Toolkit 3.0 新功能

    gaze Api 提供新的包用来写 runtime API 的检查 提供 Microsoft Graph 控件 现有的大量控件 对所有控件支持亮主题和暗主题 性能提升和修改..." 这个API支持让你控制视线输入在界面如何处理,如果对这个有兴趣,请点击链接来学习更多内容。...因为 UWP 开发需要指定最低平台,而且对不同的平台可以不同的 API ,以前只能通过看文档才知道现在有哪些API是可以使用的,现在可以安装Microsoft.Toolkit.Uwp.PlatformSpecificAnalyzer...Microsoft Graph 控件 支持 Microsoft Graph 控件,可以快速在 Xaml 使用 Microsoft Graph 控件。...这个项目会是微软和所有开发者一起开发,如果没有这么多的开发者无私贡献,那么也不会写出如此好用的库。 如果想入门学一下如何使用这个库,欢迎在应用商店下载演示软件 来使用。

    2K10
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券