如何使用Microsoft Graph身份验证API获取90天刷新令牌 - 腾讯云开发者社区

文章/答案/技术大牛

发布

VoidProxy平台对多因素认证的绕过机制与防御对策研究

（二）会话令牌捕获与持久化利用与传统钓鱼仅窃取密码不同，VoidProxy的核心目标是获取有效的会话标识符。...对于Microsoft Entra ID，关键令牌包括：Session Cookie：如ESTSAUTHPERSISTENT，有效期可达90天；Refresh Token：用于在后台静默获取新的访问令牌...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...刷新令牌生命周期过长：默认情况下，Microsoft Entra ID的刷新令牌有效期可达90天，且在用户未主动登出前持续有效。这为攻击者提供了长期潜伏窗口。...Microsoft Graph提供/revokeSignInSessions API，可编程终止可疑会话：import requestsdef revoke_suspicious_sessions(user_id

2461 0

开放授权之道：OAuth 2.0的魅力与奥秘

客户端在重定向 URI 中收到授权码，然后使用该授权码与授权服务器进行身份验证，并获取访问令牌。...刷新令牌（Refresh Token）：刷新令牌用于获取新的访问令牌，通常在访问令牌过期时使用。刷新令牌有更长的生命周期。生成令牌：访问令牌可以通过授权码授权、隐式授权等方式生成。...令牌泄漏: 客户端必须妥善保管令牌，不应该将其存储在不安全的地方。令牌的安全存储是至关重要的。过期令牌的处理: 及时地使用刷新令牌获取新的访问令牌，确保及时更新令牌，减少令牌的有效期。...令牌刷新的实现: 使用刷新令牌机制，确保即使访问令牌过期，客户端也能够安全地获取新的令牌。监控和日志: 实施监控和日志记录来检测潜在的攻击，并及时响应安全事件。...云服务集成: 企业可以使用OAuth 2.0来整合各种云服务，例如使用Google Drive API或Microsoft Graph API，以实现对云存储和办公应用的访问。

8881 1

您找到你想要的搜索结果了吗？

是的

没有找到

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

研究揭示，此类攻击通过滥用OAuth 2.0设备授权流程，在用户主动授权的掩护下获取长期有效的刷新令牌，从而规避传统基于密码泄露或会话劫持的检测机制。.../devicelogin），输入user_code；授权服务器验证用户身份（通常包括MFA）后，将授权授予客户端；客户端通过轮询使用device_code换取访问令牌（access_token）和刷新令牌...留空（设备授权无需回调）API权限：勾选Microsoft Graph的Delegated权限，如：Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...authorization_pending', 'slow_down'):print("Authorization failed:", token_json.get('error_description'))break4.3 令牌滥用示例获取令牌后...，攻击者可调用Microsoft Graph API读取邮件：import requestswith open('stolen_token.json') as f:token = json.load(f

2281 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...一旦同意，攻击者即获得授权码，兑换为访问令牌（access token）与长期有效的刷新令牌，从而无需再次触发MFA即可持续访问用户邮箱与文件。...login.microsoftonline.com/common/oauth2/v2.0/authorize；微软显示标准同意页面，列出请求的权限范围（scopes）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌...；应用使用令牌调用Microsoft Graph API。...2.4 攻击隐蔽性与影响绕过MFA：因使用刷新令牌，无需再次认证；规避EDR/邮件网关：无恶意附件或可疑URL；供应链渗透：若受害者为供应商员工，可进一步攻击其客户；勒索前置：批量下载敏感邮件与文件，为后续勒索提供素材

2431 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

更严重的是，即使组织启用了短信或电话MFA，攻击者仍可在用户完成授权后直接获取长期有效的刷新令牌（Refresh Token），实现持久化访问。.../devicelogin），输入user_code；授权服务器验证用户身份（通常包括MFA）后，将授权授予客户端；客户端通过轮询使用device_code换取访问令牌（access_token）和刷新令牌...并输入代码：ABC123”；用户信以为真，在微软官方页面输入代码并完成MFA；攻击者轮询令牌端点，成功获取access_token与refresh_token；利用令牌调用Microsoft Graph...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...未来需推动更细粒度的权限委托机制（如Microsoft Graph Delegated Permissions with Scopes Restriction）。另一个挑战是刷新令牌的长期有效性。

2491 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

然而，近期多起安全事件表明，攻击者正通过滥用Microsoft Entra ID（原Azure AD）的OAuth 2.0授权框架，绕过MFA保护，直接获取对Microsoft 365账户的持久化访问权限...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...3.3 令牌获取与持久化访问用户点击“同意”后，Microsoft将授权码发送至redirect_uri。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...4.3 刷新令牌生命周期过长在未启用条件访问（Conditional Access）的情况下，刷新令牌有效期可达90天。即使用户更改密码，旧令牌仍有效，导致凭证轮换失效。

2671 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...攻击者利用刷新令牌可无限续期访问令牌，实现长期潜伏。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...可使用Microsoft Graph PowerShell批量设置：# 禁止用户同意应用Set-MgPolicyAuthorizationPolicy -PermissionGrantPolicyId...以下Python脚本利用Microsoft Graph API实现自动化审计：import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

2861 0

通过 Beacon 获取 Microsoft Entra 刷新令牌

本文将探讨在此类受限环境下，如何通过替代方法获取刷新令牌，以确保在信标失效时仍能维持对被攻陷身份的访问。...背景知识主刷新令牌 (PRT) 是 Azure Active Directory (现称为 Entra) 中用于身份验证的关键组件。...该 BOF 利用已通过浏览器向 Entra 进行身份验证的用户会话，通过以下步骤获取访问和刷新令牌：启动新的浏览器窗口，针对指定的 Entra 客户端 ID 和范围启动授权码流程。...使用捕获的授权码向 Entra 服务请求访问令牌和刷新令牌。将获取的令牌展示给操作员。...该方法依赖于用户已在浏览器中完成身份验证，因此适用于已攻陷用户交互终端的场景。刷新令牌的有效期取决于 Entra 租户的配置，通常较长，但仍需定期轮换以维持访问。

6061 0

云邮箱钓鱼攻击趋势与企业防御体系重构

值得注意的是，攻击成功后的横向移动成本极低——一旦获取有效会话令牌或MFA绕过权限，攻击者可直接访问企业通讯录、日历、OneDrive/Google Drive文件乃至财务审批流程，造成数据泄露、商业欺诈甚至供应链污染...此类攻击尤其针对财务、HR等高频使用审批系统的部门。2.3 身份层突破：从凭证窃取到会话劫持传统钓鱼目标为用户名与密码，但在MFA普及背景下，攻击者转向更高效的会话令牌窃取。...典型流程如下：用户在钓鱼页面输入凭据；攻击脚本实时将凭据转发至真实登录接口，完成身份验证；获取有效的会话Cookie或OAuth 2.0访问令牌；直接注入浏览器或API调用，绕过MFA校验。...关键措施包括：自动化会话吊销：通过API批量注销用户所有活动会话；凭据紧急重置：强制更改密码并撤销刷新令牌；行为回溯：利用审计日志定位首次异常活动时间点。...Microsoft Graph API吊销会话示例：import requestsdef revoke_user_sessions(user_id, access_token):url = f"https

2251 0

快速提升Entra ID安全性的实用指南

合作伙伴Tier2支持"合作伙伴Tier2支持角色可以为所有非管理员和管理员（包括全局管理员）重置密码和使刷新令牌无效。""...特权身份验证管理员Microsoft："请勿使用。""为任何用户（包括全局管理员）设置或重置任何身份验证方法（包括密码）。...MMP在引入租户90天后开启（设置为启用）目前专注于3个领域：访问Microsoft管理员门户的管理员的MFA为用户配置的每用户MFA的MFA风险登录的MFA和重新身份验证关键条件访问策略要求具有管理角色的帐户使用...GPO修改权限获取其他系统上的本地管理员密码（当不唯一时）获取管理系统的控制权Microsoft SCCM（或类似）漏洞扫描器危害VMware（或其他虚拟平台）从Entra Connect到Active...生成银票将此票据注入本地Kerberos缓存Azure AD无缝SSO计算机帐户密码不会更改保护无缝单点登录（SSSO）对于Windows 10、Windows Server 2016及更高版本，建议通过主刷新令牌

2081 0

AD域攻防权威指南:三十七.使用AzureHound对Microsoft Entra ID进行分析（一）

多因素验证或者其他无密码身份验证访问策略，我们则无法使用已获取的用户名密码与AzureHound进行身份验证，在这种情况下，我们可在Powershell命令行中执行如下命令调用AzureAPI来获取租户的刷新令牌...，并将刷新令牌传递给AzureHound来间接完成身份认证。...图1-4通过AzureAD设备代码流生成刷新令牌2）使用浏览器访问https://microsoft.com/devicelogin，如图1-5所示，在此输入图...该脚本主要的作用是在没有浏览器的情况下，使用设备代码授权流程进行AzureAD身份验证，并通过"设备代码授权"的方式获取访问令牌。...api-version=1.0）请求访问令牌。最后执行$Tokens命令来将Invoke-RestMethod调用后的访问请求响应结果打印出当前屏幕中。

841 0

如何在微服务架构中实现安全性？

图 3 API Gateway 对来自客户端的请求进行身份验证，并在其对服务的请求中包含安全令牌。服务使用令牌获取有关主体的信息。...它还必须验证请求是否已经过通过身份验证。解决方案是让 API Gateway 在每个服务请求中包含一个令牌。服务使用令牌验证请求，并获取有关主体的信息。...身份验证服务器验证 API 客户端的凭据，并返回访问令牌和刷新令牌。 API Gateway 在其对服务的请求中包含访问令牌。服务验证访问令牌并使用它来授权请求。...图 5　客户端通过将其凭据发送到 API Gateway 来登录。API Gateway 使用 OAuth 2.0 身份验证服务器对凭据进行身份验证，并将访问令牌和刷新令牌作为 cookie 返回。...身份验证服务器验证客户端的凭据，并返回访问令牌和刷新令牌。 API Gateway 将访问令牌和刷新令牌返回给客户端，通常是采用 cookie 的形式。

6.1K4 0

微服务架构如何保证安全性？

一旦API Gateway验证了请求，它就会调用一个或多个服务。 ? 图3 API Gateway 对来自客户端的请求进行身份验证，并在其对服务的请求中包含安全令牌。服务使用令牌获取有关主体的信息。...3、刷新令牌：客户端用于获取新的AccessToken的长效但同时也可被可撤消的令牌。 4、资源服务器：使用访问令牌授权访问的服务。在微服务架构中，服务是资源服务器。...3、身份验证服务器验证 API 客户端的凭据，并返回访问令牌和刷新令牌。 4、API Gateway 在其对服务的请求中包含访问令牌。服务验证访问令牌并使用它来授权请求。...API Gateway 使用 OAuth 2.0 身份验证服务器对凭据进行身份验证，并将访问令牌和刷新令牌作为 cookie 返回。...身份验证服务器验证客户端的凭据，并返回访问令牌和刷新令牌。 4. API Gateway 将访问令牌和刷新令牌返回给客户端，通常是采用 cookie 的形式。 5.

6.6K4 0

如何在微服务架构中实现安全性？

一旦API Gateway验证了请求，它就会调用一个或多个服务。 ? 图3 API Gateway 对来自客户端的请求进行身份验证，并在其对服务的请求中包含安全令牌。服务使用令牌获取有关主体的信息。...它还必须验证请求是否已经过通过身份验证。解决方案是让 API Gateway 在每个服务请求中包含一个令牌。服务使用令牌验证请求，并获取有关主体的信息。...■刷新令牌：客户端用于获取新的AccessToken的长效但同时也可被可撤消的令牌。 ■资源服务器：使用访问令牌授权访问的服务。在微服务架构中，服务是资源服务器。...3．身份验证服务器验证 API 客户端的凭据，并返回访问令牌和刷新令牌。 4． API Gateway 在其对服务的请求中包含访问令牌。服务验证访问令牌并使用它来授权请求。...API Gateway 使用 OAuth 2.0 身份验证服务器对凭据进行身份验证，并将访问令牌和刷新令牌作为 cookie 返回。

6.4K3 0

RaccoonO365钓鱼即服务的运作机制与防御体系构建

在此背景下，“RaccoonO365”作为一个典型代表，自2024年末起迅速扩张，其核心目标并非单纯获取用户名密码，而是通过伪造Microsoft 365登录界面，诱导用户完成完整身份验证流程，进而窃取包含多因素认证...（MFA）状态的会话Cookie或刷新令牌（Refresh Token），实现绕过MFA的持久化访问。...攻击者可直接使用这些Cookie在浏览器中维持登录会话，或利用刷新令牌在后台静默获取新的访问令牌（Access Token），从而绕过所有基于密码的二次验证。...（ROPC）流（尽管微软已限制其使用，但在某些遗留场景仍可能被滥用）获取令牌。...重点关注以下事件：同一会话中出现多个地理位置登录刷新令牌频繁用于获取新访问令牌邮件规则创建（尤其是转发至外部域）构建检测规则：例如，若某账户在10分钟内从两个相距超过1000公里的IP登录，且均携带有效会话

1631 0

分享一篇详尽的关于如何在 JavaScript 中实现刷新令牌的指南

介绍刷新令牌允许用户无需重新进行身份验证即可获取新的访问令牌，从而确保更加无缝的身份验证体验。这是通过使用长期刷新令牌来获取新的访问令牌来完成的，即使原始访问令牌已过期也是如此。...访问令牌用于访问受保护的资源，例如 API，而刷新令牌用于在当前访问令牌过期时获取新的访问令牌。当 JWT 用作访问令牌时，它通常使用用户的声明和令牌的过期时间进行编码。...以下是应用程序如何在 Node.js 应用程序中使用 JWT 刷新令牌的示例：用户登录到应用程序并将其凭据发送到身份验证服务器。身份验证服务器验证凭据，生成 JWT 访问令牌和 JWT 刷新令牌。...以下是如何使用 JavaScript 使刷新令牌失效的示例：在此示例中，我们使用 localStorage 对象来存储和检索刷新令牌。...本文提供的指南（包括如何使用 JavaScript 实现刷新令牌的示例）应该为您重振身份验证过程提供一个良好的起点。值得注意的是，实施刷新令牌并不是一种万能的解决方案，了解所涉及的权衡非常重要。

2.8K3 0

实战指南：Go语言中的OAuth2认证

在实际应用中，您可能需要将访问令牌存储在会话中，并根据需要调用受保护的API。 5. 示例代码演示在本节中，我们将演示如何使用Go语言实现基本的OAuth2认证流程，并获取访问令牌后调用API。...获取访问令牌并调用API 要获取访问令牌并调用API，您可以使用OAuth2客户端库中的Exchange方法交换授权码，然后使用返回的访问令牌进行API调用。...以下是一些常见问题的解答：如何处理令牌过期？当访问令牌过期时，您可以使用刷新令牌获取新的访问令牌，而无需用户重新登录。...在Go中，您可以使用OAuth2客户端库中的TokenSource接口的Token方法来实现刷新令牌的功能。如何处理权限不足的情况？...在Go中实现OAuth2认证：我们演示了如何使用Go语言实现基本的OAuth2认证流程，并获取访问令牌后调用API的示例代码。

2.7K3 0

onedrive for business使用python上传文件

终结点 URL OneDrive for Business 资源的访问令牌在当前令牌到期时生成其他访问令牌的刷新令牌。...开始对接客户端id和密钥使用过oneindex的小伙伴应该都知道怎么设置，这里就不多介绍，除此之外设置一个回调的uri就可以了，我使用的是“localhost:8400” 获取access_token...onedrive for business使用的是标准的Oauth2流程，所以大概流程就是先获取code，使用code交换access_token，然后就可以调用api了，这里先贴出获取code以及交换...r.status_code not in [200, 201, 202]: print("上传出错") break 遇到的几个坑终结点是https://graph.microsoft.com...onedrive的请求api是https://graph.microsoft.com/v1.0/me/drive，但是文档中以及网上教程写的是https://graph.microsoft.com/me

5.4K5 0

Go语言中的OAuth2认证

在实际应用中，您可能需要将访问令牌存储在会话中，并根据需要调用受保护的API。5. 示例代码演示在本节中，我们将演示如何使用Go语言实现基本的OAuth2认证流程，并获取访问令牌后调用API。...获取访问令牌并调用API要获取访问令牌并调用API，您可以使用OAuth2客户端库中的Exchange方法交换授权码，然后使用返回的访问令牌进行API调用。...处理过期令牌OAuth2的访问令牌通常具有一定的有效期，过期后需要重新获取新的访问令牌。为了处理过期令牌，您可以通过在应用程序中检查访问令牌的有效期，并在需要时使用刷新令牌获取新的访问令牌。...以下是一些常见问题的解答：如何处理令牌过期？当访问令牌过期时，您可以使用刷新令牌获取新的访问令牌，而无需用户重新登录。...在Go中，您可以使用OAuth2客户端库中的TokenSource接口的Token方法来实现刷新令牌的功能。如何处理权限不足的情况？

2.2K1 0

网络钓鱼对金融行业安全的威胁机制与防御体系构建

当前主流金融系统普遍部署多因素认证（MFA），但攻击者已发展出多种绕过手段：OAuth令牌窃取：通过诱导用户授权恶意第三方应用（如“账单同步助手”），获取对Microsoft 365或Google Workspace...2.3 凭证与令牌的持久化利用与传统密码窃取不同，现代钓鱼更注重获取可长期使用的访问凭证。...例如，攻击者在捕获OAuth授权码后，通过合法Token Endpoint兑换访问令牌（Access Token）与刷新令牌。后者有效期可达90天以上，且可在后台持续刷新，形成持久化访问通道。...定期审计与自动清理：利用Microsoft Graph API或Google Admin SDK定期扫描已授权应用，自动吊销60天未使用的令牌，并标记异常权限组合（如同时请求邮箱与云存储访问）。...短时效操作令牌：对敏感操作（如API密钥重置）生成一次性、5分钟内有效的操作令牌，通过企业IM或硬件令牌分发，避免长期凭证暴露。

1761 0

点击加载更多

VoidProxy平台对多因素认证的绕过机制与防御对策研究

开放授权之道：OAuth 2.0的魅力与奥秘

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

高级OAuth钓鱼攻击的演化机制与防御体系构建

通过 Beacon 获取 Microsoft Entra 刷新令牌

云邮箱钓鱼攻击趋势与企业防御体系重构

快速提升Entra ID安全性的实用指南

AD域攻防权威指南:三十七.使用AzureHound对Microsoft Entra ID进行分析（一）

如何在微服务架构中实现安全性？

微服务架构如何保证安全性？

如何在微服务架构中实现安全性？

RaccoonO365钓鱼即服务的运作机制与防御体系构建

分享一篇详尽的关于如何在 JavaScript 中实现刷新令牌的指南

实战指南：Go语言中的OAuth2认证

onedrive for business使用python上传文件

Go语言中的OAuth2认证

网络钓鱼对金融行业安全的威胁机制与防御体系构建

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐