如何使用PHP从Microsoft Graph API获取访问令牌并连接用户而无需重定向 - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...一旦同意，攻击者即获得授权码，兑换为访问令牌（access token）与长期有效的刷新令牌，从而无需再次触发MFA即可持续访问用户邮箱与文件。...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中，第三方应用若需访问用户资源（如邮件、日历），必须通过OAuth 2.0授权码流程获取权限。...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...用户难以判断风险。3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志，也因数据量庞大而忽略异常。

2481 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

在此过程中，攻击者不仅捕获用户名与密码，更重要的是截获认证成功后返回的会话Cookie、OAuth 2.0访问令牌及刷新令牌（Refresh Token），从而实现无需凭证重放的持久化账户访问。...关键创新在于其“无感中继”能力：所有用户输入（包括MFA验证码）均被同步转发至真实IdP，而IdP返回的响应（含Set-Cookie头、Location重定向、OAuth授权码）亦被代理捕获并传递给受害者浏览器...对于Microsoft Entra ID，关键令牌包括：Session Cookie：如ESTSAUTHPERSISTENT，有效期可达90天；Refresh Token：用于在后台静默获取新的访问令牌...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...攻击者利用这些令牌可直接通过API访问用户邮箱、OneDrive文件、Teams聊天记录等，完全绕过前端UI与MFA提示。

2481 0

您找到你想要的搜索结果了吗？

是的

没有找到

警惕“授权即沦陷”！Barracuda预警：高级OAuth钓鱼正悄然接管你的企业账号

攻击者不再执着于窃取密码，而是转而“合法”获取访问令牌（Access Token），绕过多因素认证（MFA），实现无痕持久化入侵。...一旦用户被导向伪造的微软登录页并输入凭证，系统会跳转到一个“授权请求”页面——看起来和平时一模一样。只要用户点了“同意”，攻击者就获得了OAuth令牌，从此无需密码、无需验证码，即可长期访问该账户。...，攻击者可长期潜伏，甚至设置邮件转发规则，悄无声息地窃取情报；即使用户更改密码，只要未撤销授权，攻击者仍能通过刷新令牌继续访问。...企业如何防御？从“授权治理”做起面对这种新型威胁，传统防钓鱼手段已显不足。Barracuda与芦笛共同建议企业采取以下措施：1....即使令牌被盗，也无法在陌生设备上使用。5. 定期吊销可疑刷新令牌通过Microsoft Graph API或安全中心，监控异常令牌活动（如非工作时间、非常用地点），并批量撤销高风险会话。

3351 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

劫持授权响应、绕过多因素认证（MFA）等手段，在不获取用户密码的前提下实现持久化账户访问。...其标准流程如下：用户访问第三方应用（Client）；Client重定向用户至授权服务器（如Microsoft Entra ID）的授权端点，携带client_id、redirect_uri、scope等参数...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...可使用Microsoft Graph PowerShell批量设置：# 禁止用户同意应用Set-MgPolicyAuthorizationPolicy -PermissionGrantPolicyId

2921 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

以授权码模式（Authorization Code Flow）为例，典型步骤如下：用户访问第三方应用：例如点击“使用Microsoft登录”按钮；重定向至Microsoft登录页：URL包含client_id...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...关键点在于：MFA仅在第3步验证用户身份，而第5步的“同意”操作本身无二次验证。一旦用户授权，即使账户启用了MFA，攻击者仍可通过令牌直接访问资源。...3.3 令牌获取与持久化访问用户点击“同意”后，Microsoft将授权码发送至redirect_uri。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

2731 0

开放授权之道：OAuth 2.0的魅力与奥秘

客户端在重定向 URI 中收到授权码，然后使用该授权码与授权服务器进行身份验证，并获取访问令牌。...请求授权：客户端将用户重定向到授权服务器，并包含以下信息：客户端标识请求的范围（资源访问的权限）重定向 URI，用于接收授权码或访问令牌用户授权：资源所有者（用户）在授权服务器上登录...移动应用开发: 移动应用可以使用OAuth 2.0来安全地获取用户许可，而不存储用户的敏感信息。隐式授权方式通常用于移动应用，简化了流程。...云服务集成: 企业可以使用OAuth 2.0来整合各种云服务，例如使用Google Drive API或Microsoft Graph API，以实现对云存储和办公应用的访问。...客户端可以使用ID令牌直接获取用户信息，而无需额外的请求。实现用户身份验证的最新趋势：认证和授权的统一：越来越多的系统倾向于将身份验证和授权整合在一起，以简化开发者的流程。

9021 1

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

研究揭示，此类攻击通过滥用OAuth 2.0设备授权流程，在用户主动授权的掩护下获取长期有效的刷新令牌，从而规避传统基于密码泄露或会话劫持的检测机制。...如https://microsoft.com/devicelogin），输入user_code；授权服务器验证用户身份（通常包括MFA）后，将授权授予客户端；客户端通过轮询使用device_code换取访问令牌...，服务器返回标准OAuth令牌，其中refresh_token可长期使用（默认90天，可配置延长），使攻击者获得持久访问能力。...4 攻击链复现与代码示例4.1 恶意应用注册攻击者首先在Azure AD中注册一个恶意应用（可使用个人微软账户完成，无需租户管理员权限）：应用名称：Secure Document Sync重定向URI：...留空（设备授权无需回调）API权限：勾选Microsoft Graph的Delegated权限，如：Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2

2341 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

该流程允许用户在另一台具备浏览器的设备上完成授权，从而获取访问令牌。...一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。.../devicelogin 并输入代码：ABC123”；用户信以为真，在微软官方页面输入代码并完成MFA；攻击者轮询令牌端点，成功获取access_token与refresh_token；利用令牌调用Microsoft...://microsoft.com/devicelogin 输入user_code并完成登录后，上述脚本将成功获取访问令牌。...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json

2561 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

一、引言近年来，随着企业向云办公平台（如Microsoft 365、Google Workspace）的大规模迁移，身份认证体系逐步从传统的用户名/密码模型转向基于令牌（token）的现代协议，其中OAuth...这种转变标志着钓鱼攻击从“凭证窃取”向“权限授予”的范式迁移。攻击目标不再是静态密码，而是动态的、具有时效性的授权令牌；攻击载体不再是可执行文件，而是合法云服务的API接口。...攻击者只需一次授权即可获取最大权限。第三，撤销机制滞后。用户发现异常后，往往首先更改密码，却不知需手动撤销应用授权。而企业级批量撤销功能通常权限过高，仅限全局管理员使用，响应速度慢。...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1931 0

基于会话代理的现代钓鱼攻击机制与纵深防御体系研究

针对此，本文提出一套融合设备合规性、地理上下文与用户行为的连续验证模型，并结合令牌绑定（Token Binding）、私有链接（Private Link）隔离及授权事件监控等技术构建纵深防御体系。...值得注意的是，攻击者并非仅获取静态密码，而是通过代理中继完成MFA挑战，最终获得有效的OAuth 2.0访问令牌或会话Cookie，实现对邮箱、OneDrive乃至Azure资源的完全控制。...由于整个流程符合标准OpenID Connect规范，用户难以察觉中间已被代理截获。更危险的是，若攻击者已窃取Refresh Token，可长期静默访问API资源，而无需再次交互。...（Token Binding）：将访问令牌与客户端TLS证书绑定，防止令牌被盗后在其他设备使用。...所提出的纵深防御体系，强调从身份、设备、网络、应用四层协同控制，尤其重视会话生命周期的安全治理。令牌绑定与Private Link从架构上缩小攻击面，而连续验证与授权监控则提供运行时防护。

2511 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

本文详细还原攻击链技术细节，包括伪造域名、OAuth重定向劫持、代理式令牌窃取及跨信道（WhatsApp/Signal）诱导等环节，并提出基于条件访问策略（Conditional Access）、应用白名单...研究结论指出，仅依赖用户教育无法应对当前高度专业化、协议级的钓鱼威胁，必须从身份治理与协议使用规范层面重构企业安全边界。...，OAuth 2.0协议已成为连接用户身份与云服务的核心枢纽。...Workspace账户的访问权限，从而合法获取高权限令牌。...Graph API支持查询用户授予的同意记录：GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization:

2851 0

“量子重定向”钓鱼工具席卷全球：一场针对Microsoft 365的自动化攻防战正在打响

一、从“手工钓鱼”到“全自动流水线”：PhaaS如何重塑攻击范式？...一旦用户在钓鱼页输入账号密码并完成MFA（如短信验证码），攻击者不仅能获取凭证，还能窃取浏览器生成的XSRF-TOKEN、.AspNet.Cookies等会话令牌，并通过代理服务器直接复用该会话登录真实...Microsoft 365门户——全程无需知道密码，也无需触发二次验证。...例如，针对德国用户的钓鱼页会显示德语界面、使用.de域名、甚至模仿当地银行的视觉风格；而面向中国台湾地区的页面则可能使用繁体中文，并伪装成“Microsoft 台灣帳戶驗證”。...# 通过Microsoft Graph API检查用户是否启用FIDO2GET https://graph.microsoft.com/v1.0/me/authentication/methods# 返回结果中若包含

1381 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

一旦用户输入代码并点击“下一步”，系统会要求其使用 Microsoft 365 账户登录——此时 MFA 可能被触发，用户收到短信或 Authenticator 推送通知，并完成验证。...授权完成后，攻击者的服务器立即通过 OAuth 2.0 的 /token 端点兑换访问令牌和刷新令牌（Refresh Token），从而获得对受害者邮箱、日历、文件等资源的长期访问权——全程无需知道密码...它允许第三方应用在不获取用户密码的前提下，访问用户在其他服务（如 Google、Microsoft）上的资源。...；用户登录并授权该应用；客户端轮询 /token 端点，一旦用户授权，立即获取 Access Token。...部署条件访问（Conditional Access）策略限制高风险操作（如令牌颁发）仅允许从受信任设备、网络或地理位置发起。

3361 0

PwnAuth——一个可以揭露OAuth滥用的利器

API——资源客户端希望访问的目标应用程序。在本例中，Microsoft OneDrive API 终端是资源。资源拥有者允许访问其部分帐户的人员。在本例中，就是你。...3.同意后，授权服务器将使用授权码重定向应用程序。...访问令牌可以在设定的时间段内使用，从API资源访问用户的数据，而无需资源所有者采取任何进一步的行动。...攻击者可能会创建恶意应用程序，并使用获取的访问令牌通过API资源获取受害者的帐户数据。访问令牌不需要知道用户的密码，并能绕过双因素认证。...虽然任何允许OAuth应用程序的云环境都可以成为目标，但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序，捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API

2.5K2 0

Office开发者计划-永久白嫖Office365

安装并激活Microsoft365 方式1：可点击上述仪表盘中的转到订阅，随后使用刚刚生成的管理员账号登录，进入页面则可下载需要的内容方式2：使用Office Tool Plus...，之后访问并登陆作者搭建好的网站（使用Github账号），授权其实用你的应用客户端即可。...委托的权限(用户登录) 应用程序权限(非用户登录) 官方释义应用程序必须以登录用户身份访问API 应用程序在用户未登录的情况下作为后台服务或守护程序运行所需配置账户名称+账户密码+应用程序(客户端...权限可以选择相应的API进行配置此处以Microsoft Graph为参考，选择“委托的权限”，根据列出的API权限需求表进行选择 “委托的权限”配置（用户登录）（选择...：Postman&Microsoft Graph API使用 c.Microsoft Graph 快速入门示例 Microsoft Graph入门： a.选择语言或平台 b.获取应用

11.4K3 2

基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

Salty 2FA并非孤立事件，而是代表了钓鱼攻击从“凭证收集”向“会话接管”演进的技术拐点。攻击者不再满足于获取用户名和密码，而是追求对合法会话的直接控制，以规避后续的身份验证检查。...尤其在Microsoft 365生态中，一旦攻击者获得有效会话Cookie或OAuth 2.0访问令牌，即可直接调用Graph API访问邮件、日历、文件甚至执行管理员操作，而无需再次触发MFA。...具体流程如下：用户访问钓鱼URL；攻击者服务器向Microsoft 365发起GET /login请求，获取原始登录页HTML；攻击者替换HTML中的表单提交地址（action）为自身代理端点，并注入JavaScript...，将完整会话状态保存至后台；用户被正常重定向至Outlook等应用，全程无异常感知；攻击者利用所获Cookie或访问令牌，通过脚本或浏览器自动化工具直接登录同一会话。...防御此类威胁，不能依赖用户警惕性或静态策略，而需依托Microsoft 365生态提供的现代身份能力——包括连续访问评估、条件访问、客户端证明与FIDO2无密码认证——构建动态、自适应的零信任架构。

2151 0

通过 Beacon 获取 Microsoft Entra 刷新令牌

本文将探讨在此类受限环境下，如何通过替代方法获取刷新令牌，以确保在信标失效时仍能维持对被攻陷身份的访问。...在本地启动 “监听器”，捕获浏览器重定向时返回的授权码。使用捕获的授权码向 Entra 服务请求访问令牌和刷新令牌。将获取的令牌展示给操作员。...它本质上允许这些应用程序无需托管 Web 服务器或使用自定义 URI 方案即可从 Entra 接收授权码——浏览器只需使用“code”参数重定向到此 URI，应用程序即可捕获该 URI 并交换访问令牌和刷新令牌...如果我们从那里提取它，就可以使用原生客户端重定向 URI，从而访问更大范围的 FOCI，并解除只能使用允许“ http://localhost ”作为重定向 URI 的 FOCI 的限制。...和范围）从窗口标题中提取返回的代码使用代码请求并获取令牌 beacon> entra-authcode-flow

6181 0

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

其标准流程如下：用户在受限设备上请求访问资源（如OneDrive）；设备向授权服务器（如Azure AD）发起请求，获取一个设备代码（device_code）和用户验证码（user_code）；用户被引导至...整个过程无需输入密码，且若用户已处于登录状态（如浏览器记住会话），甚至无需再次输入MFA。而攻击者正是利用了第3-5步的“信任链”。...# 攻击者侧：使用Microsoft Graph API发起设备代码请求（简化示例）import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后，攻击者即可调用Microsoft Graph API，读取邮件、日历、OneDrive文件、Teams消息，甚至发送新邮件冒充受害者——全程无需知道密码...同时，开启风险用户检测（Identity Protection）和异常登录活动告警。例如，若某账户在短时间内从不同国家调用Graph API，即使Token合法，也应触发二次验证。

1871 0

云邮箱钓鱼攻击趋势与企业防御体系重构

值得注意的是，攻击成功后的横向移动成本极低——一旦获取有效会话令牌或MFA绕过权限，攻击者可直接访问企业通讯录、日历、OneDrive/Google Drive文件乃至财务审批流程，造成数据泄露、商业欺诈甚至供应链污染...此类攻击尤其针对财务、HR等高频使用审批系统的部门。2.3 身份层突破：从凭证窃取到会话劫持传统钓鱼目标为用户名与密码，但在MFA普及背景下，攻击者转向更高效的会话令牌窃取。...典型流程如下：用户在钓鱼页面输入凭据；攻击脚本实时将凭据转发至真实登录接口，完成身份验证；获取有效的会话Cookie或OAuth 2.0访问令牌；直接注入浏览器或API调用，绕过MFA校验。...关键措施包括：自动化会话吊销：通过API批量注销用户所有活动会话；凭据紧急重置：强制更改密码并撤销刷新令牌；行为回溯：利用审计日志定位首次异常活动时间点。...Microsoft Graph API吊销会话示例：import requestsdef revoke_user_sessions(user_id, access_token):url = f"https

2271 0

聊聊统一认证中的四种安全认证协议（干货分享）

它自身（在 payload 中）就包含了所有与用户相关的验证消息，如用户可访问路由、访问有效期等信息，服务器无需再去连接数据库验证信息的有效性，并且 payload 支持应用定制；支持跨域验证。...endpoint获取用户信息，减少请求开销；一般oauth2协议，都提供userinfo endpoint获取用户信息，例微软：https://graph.microsoft.com/oidc.../userinfo，使用access token调用此接口获取得到用户信息；idToken可节省调用userinfo API接口的额外消耗；某些场景，如只需要用户登录认证并获取用户信息，而不必调用Resource...CAS协议 - 授权过程：用户登录应用系统后，需要访问某个资源；应用系统将用户的访问请求发送到CAS服务器，并携带用户的身份信息； CAS服务器验证用户的身份信息，并根据用户的权限，判断用户是否有权访问该资源...用户访问不同语言、不同架构的服务，服务又通过CAS、SAML、Oauth等协议与认证服务器进行交互，基于spring mvc框架的认证服务器从LDAP、数据库、或AD获取数据对用户进行身份验证，然后向用户颁发凭据

6.8K4 1

点击加载更多

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

VoidProxy平台对多因素认证的绕过机制与防御对策研究

警惕“授权即沦陷”！Barracuda预警：高级OAuth钓鱼正悄然接管你的企业账号

高级OAuth钓鱼攻击的演化机制与防御体系构建

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

开放授权之道：OAuth 2.0的魅力与奥秘

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

基于会话代理的现代钓鱼攻击机制与纵深防御体系研究

基于OAuth滥用的定向钓鱼攻击与防御机制研究

“量子重定向”钓鱼工具席卷全球：一场针对Microsoft 365的自动化攻防战正在打响

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

PwnAuth——一个可以揭露OAuth滥用的利器

Office开发者计划-永久白嫖Office365

基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

通过 Beacon 获取 Microsoft Entra 刷新令牌

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

云邮箱钓鱼攻击趋势与企业防御体系重构

聊聊统一认证中的四种安全认证协议（干货分享）

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐