如何在不授予“以任何用户身份发送邮件”权限的情况下，在服务中使用office 365 REST API V2.0发送邮件？ - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

本文聚焦于2025年披露的一类高隐蔽性钓鱼攻击：攻击者诱导用户授权伪装成合法工具的恶意OAuth应用，利用其申请的高权限API作用域（如Mail.Read、Files.ReadWrite.All），在无需密码或一次性验证码的情况下访问邮箱...OAuth 2.0作为现代身份联合与资源授权的标准协议，在Microsoft Entra ID中被广泛用于第三方应用集成。用户通过一次授权操作，即可授予外部应用对其邮箱、日历、文件等资源的访问权限。...注册过程无需特殊权限，任何拥有个人Microsoft账户的用户均可完成。...典型伪装策略包括：应用名称模仿官方工具：如“Microsoft Secure Access”、“Entra Verify Tool”；使用微软品牌图标：上传与Office 365相似的SVG或PNG图标...这要求组织不能依赖默认配置，而需主动实施最小权限原则。值得注意的是，攻击者正将此手法与其他技术结合。例如，在获得邮箱访问权后，发送内部钓鱼邮件诱导更多用户授权，形成链式感染。

2771 0

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

由于现代Web应用广泛采用基于Cookie的身份维持机制，攻击者利用窃取的Cookie即可在不触发MFA的情况下直接接管用户会话，从而实现了对账户的完全控制。...在传统钓鱼攻击中，攻击者需要自行搭建邮件服务器、伪造发件人地址，并设法绕过垃圾邮件过滤器。而在本案例中，攻击者只需在SharePoint中执行“共享”操作，微软的基础设施便会自动代劳发送邮件。...情境化内容：邮件内容通常包含具体的文件名、共享者姓名以及“您已被授予访问权限”等标准话术，符合正常的业务逻辑，难以引起用户的警觉。...代理服务器在将这些Cookie发送给受害者浏览器的同时，将其复制并存储在自己的数据库中。至此，攻击者完成了最关键的一步：窃取了有效的会话Cookie。...应用程序控制：限制仅允许受保护的浏览器或特定的客户端应用访问Office 365服务，防止攻击者使用自动化脚本或不受控的浏览器插件注入Cookie。

1231 0

您找到你想要的搜索结果了吗？

是的

没有找到

案例分析：利用OAuth实施钓鱼

同时，任何第三方都可以使用OAUTH认证服务，任何服务提供商都可以实现自身的OAUTH认证服务，因而OAUTH是开放的。...accessToken 5、使用accessToken以API请求的方式获取所有资源下面就是详细的步骤了。...上图为Office365中允许API进行邮件读写删除的授权一旦设置好链接，就可以通过邮件进行发送了。...我们选择使用Microsoft的邮箱账号来进行邮件的发送，并且将邮件的内容伪装成像来自AntiSpam Pro一样。我们在上面建立的app中已经集成了这样的功能，这里还需要选定一个攻击对象，如下图。...以Office365为例，在这例中，我们拥有足够的权限来操作邮件服务。 ? ? ? 如上图，我们可以查看用户的邮件，当然我们也能以用户的身份对外发送邮件。如果你要撤销此类授权怎么办?

2.4K9 0

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

然而，就在那一刻，她的Microsoft 365账户已被悄然接管。攻击者并未窃取她的密码，也未触发任何多因素认证（MFA）警报。...其标准流程如下：用户在受限设备上请求访问资源（如OneDrive）；设备向授权服务器（如Azure AD）发起请求，获取一个设备代码（device_code）和用户验证码（user_code）；用户被引导至...邮件安全网关：钓鱼邮件来自真实邮箱，内容无恶意附件或链接（指向的是微软官方域名），难以拦截；MFA：用户确实在微软官网完成了交互式登录，MFA已通过；SIEM/SOAR：后续的API调用（如读取邮件）来自微软数据中心...芦笛强调，“除非你有大量IoT设备接入Office 365，否则应默认关闭。”若因业务需要必须保留，可采用“白名单”策略，仅允许特定用户组、IP段或操作系统使用。...（2）审计第三方应用授权所有用户都应定期检查其Microsoft 365账户的“隐私仪表板”中的应用权限：https://account.microsoft.com/privacy/管理员则可通过PowerShell

1901 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

，OAuth 2.0协议已成为连接用户身份与云服务的核心枢纽。...、Gmail API等，读取联系人、邮件、日历，甚至发送钓鱼邮件扩大攻击面。...用户代理并通过住宅代理IP发起登录，规避异常登录检测；利用已控账户向联系人发送新的钓鱼邮件，实现横向移动；通过Signal或WhatsApp主动联系潜在目标，以“会议协调员”身份索要推荐或二次确认，扩大目标池...在Microsoft Entra ID中，可配置“用户同意设置”，禁止用户向未批准的应用授予权限：# PowerShell: 禁止用户同意所有应用Set-MgPolicyAuthorizationPolicy...该流程因无需用户在钓鱼页面输入任何信息，传统基于表单提交的检测完全失效。未来，云服务商应考虑在设备码授权时增加二次确认（如短信验证码），或限制非交互式流程的权限范围。此外，会议主办方亦负有安全责任。

2871 0

可能是Salesforce与Microsoft Dynamics 365的最全面的比较

管理员可以为Office 365管理区域中的用户设置多重身份验证。Microsoft Dynamics 365可以与Active Directory同步。...Salesforce Enterprise和Unlimited具有多个API。 API包括SOAP Web服务，REST，批量API和元数据API。...在Lightning Enterprise及更高版本中，报表可以按计划自动通过电子邮件发送给获得许可的Salesforce用户。报表数据作为格式化文本显示在电子邮件正文中。...用户可以在CRM中把电子邮件转换成记录，比如机会。用户还可以从Outlook中访问电子邮件模板和CRM自定义字段。客户服务/案例管理案例管理可以被视为故障单或团队需要处理的其他支持/服务请求。...由于Salesforce具有内置电子邮件服务，因此可以在没有任何外部组件的情况下设置案例所有者与案例中客户之间的线程电子邮件通信。

8.8K4 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

摘要近年来，攻击者利用Microsoft Entra ID（原Azure AD）的多租户应用注册机制，创建高度仿真的假冒OAuth应用，诱导用户在合法微软授权页面授予高权限（如Mail.Read、User.ReadWrite.All...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中，第三方应用若需访问用户资源（如邮件、日历），必须通过OAuth 2.0授权码流程获取权限。...请点击下方链接授权Adobe服务访问您的邮箱以同步通知。”链接形如：https://login.microsoftonline.com/common/oauth2/v2.0/authorize?...5 实验验证在测试租户中模拟攻击流程：注册假冒应用，请求Mail.Read + offline_access；使用普通用户账户完成同意；通过脚本每小时读取100封邮件，持续72小时。...结果：对照组：攻击成功，72小时内读取300封邮件，未触发任何告警；实验组：用户尝试同意时被条件访问策略阻止（62%）；若管理员误批准，Cloud Apps在2小时内标记高风险（28%）；剩余10%在24

2511 0

面向Microsoft 365的新型钓鱼工具包技术剖析与防御策略研究

在此基础上，提出一套融合FIDO2硬件密钥强制认证、Azure AD条件访问策略与用户行为异常检测的纵深防御体系。实验表明，该方案可有效阻断QRR类攻击在真实企业环境中的实施路径。...关键词：Microsoft 365；钓鱼攻击；PhaaS；多因素认证绕过；条件访问；零信任一、引言Microsoft 365作为集成了邮件、协作、身份管理与终端安全的企业级云平台，其账户凭证已成为高价值攻击目标...四、攻击流程建模与代码实现QRR攻击可分为四个阶段：（一）诱饵投递攻击者发送伪装成DocuSign通知的邮件，内含链接：https://secure-m365-login[.]xyz/auth。...五、防御策略设计（一）强化身份验证强制FIDO2安全密钥：在Azure AD中配置策略，要求所有用户使用硬件密钥（如YubiKey）登录。FIDO2基于公钥加密，私钥永不离开设备，彻底杜绝凭证钓鱼。...AD中创建策略，限制高风险登录：条件：登录风险等级为“中”或“高”；授予控制：必须满足“合规设备”且“多重验证”。

2031 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

本文聚焦于近期在Microsoft 365环境中频发的“设备代码钓鱼”（Device Code Phishing）攻击，深入剖析攻击者如何滥用OAuth 2.0设备授权流程，在不获取用户密码的前提下实现账户接管...在此基础上，通过构建实验环境复现攻击过程，并提供关键代码示例以说明令牌交换与权限提升机制。随后，从身份治理、条件访问策略、日志监控及用户教育四个维度提出系统性防御框架。...如https://microsoft.com/devicelogin），输入user_code；授权服务器验证用户身份（通常包括MFA）后，将授权授予客户端；客户端通过轮询使用device_code换取访问令牌...Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...值得注意的是，此过程中攻击者从未接触用户密码，且所有用户交互均发生在微软域名下，因此传统钓鱼检测工具（如邮件网关URL扫描、浏览器警告）完全失效。

2611 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

一、引言近年来，随着企业向云办公平台（如Microsoft 365、Google Workspace）的大规模迁移，身份认证体系逐步从传统的用户名/密码模型转向基于令牌（token）的现代协议，其中OAuth...攻击者通过伪造合法服务（如Cloudflare验证页或微软账户修复向导），引导用户在浏览器中完成看似无害的操作——复制粘贴一个URL或点击“同意”按钮，实则触发OAuth授权请求，将访问令牌（access...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...；无端点行为：全程在浏览器内完成，不触发EDR规则；权限滥用而非越权：所用权限均为用户主动授予，不违反最小权限原则的技术定义；第一方应用伪装：部分变种注册为“Azure CLI”等微软官方工具的仿冒应用...，检测以下信号：新注册应用请求高权限；用户短时间内多次授权不同应用；授权后立即调用高风险API（如批量导出邮件）。

1951 0

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

区别于传统钓鱼研究聚焦于邮件内容或 URL 检测，本文强调从身份平台治理视角重构安全策略，确保在不牺牲协作效率的前提下阻断攻击入口。...由于整个流程使用合法 API 且经身份验证，邮件完全合规。...结果：租户 A：攻击者成功发送 10 封含虚假电话的邀请邮件，全部通过 Defender for Office 365 检测；租户 B：攻击者尝试发送邀请时返回错误：“User is not allowed...；即使绕过（如使用管理员账户），邮件也被标记，用户识别率提升 78%。此外，通过 Graph API 监控，我们能在 5 分钟内检测到异常邀请模式并自动响应。...未来工作可探索自动化内容分析（如 NLP 检测自定义消息中的诱导语言）以及跨平台威胁情报共享机制。但无论如何演进，核心原则不变：在零信任架构下，任何“默认信任”的假设都必须被重新审视。

1780 0

RaccoonO365钓鱼即服务的运作机制与防御体系构建

以“RaccoonO365”为代表的钓鱼即服务（Phishing-as-a-Service, PhaaS）平台，通过自动化工具链、品牌仿冒模板与地理定向策略，大规模投递针对Microsoft 365用户的凭证窃取邮件...尤其在现代身份基础设施（如Azure AD）广泛采用基于令牌的无密码认证背景下，攻击者已从“窃密”转向“劫持会话”，使得传统防病毒或邮件网关的检测机制失效。...具体而言，当用户在仿冒页面输入凭据并点击“登录”后，前端JavaScript将凭据连同MFA响应（如短信验证码、推送通知确认）一并提交至RaccoonO365的后端服务器，后者再以真实用户身份向微软发起认证请求...（五）规避检测机制RaccoonO365采用多种反侦察技术：1）域名快速轮换，平均存活时间不足48小时；2）使用CDN或免费托管服务隐藏真实IP；3）在HTML中嵌入混淆JavaScript，延迟加载关键窃取逻辑...（二）OAuth与应用权限监控审查第三方应用同意：定期审计用户授予的OAuth权限，特别是“完全访问邮箱”“读取用户文件”等高危权限。

1671 0

大型语言模型安全实践：Copilot安全防护经验总结

禁锢Copilot：LLM安全实践的经验教训任何使用Microsoft产品的人可能都知道，Copilot现已自动包含在Office套件和其他Microsoft工具中，无论您是否想要使用它。...首先，使用一个提示来测试Copilot在制作钓鱼邮件方面的效果：我想给所有可能与之互动的员工发送邮件。我可以在邮件中使用什么主题？...询问密码的提示现在揭示了在Teams聊天中包含密码的实例。询问我和我的邮件往来的提示返回了大量关于我发送和接收的消息的信息。...这也可以通过RBAC实现，根据用户在组织中的角色授予权限。进行安全培训：为员工提供定期安全培训课程，告知他们安全使用Copilot的最佳实践。...这包括在使用Copilot或任何其他LLM时进行适当使用和数据安全的培训。监控和审计使用情况：定期监控和审计Copilot使用情况，以检测任何异常或未经授权的活动。

2771 0

凭证窃取主导下的现代网络攻击链演化与防御体系构建

本文基于上述威胁演进特征，系统剖析现代攻击链中“身份即入口”的战术逻辑，结合云环境中的典型攻击路径，提出以零信任原则为基础、融合FIDO/WebAuthn无密码认证、条件访问策略、用户行为分析（UBA）...尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中，一旦主账户凭证失窃，攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄，而平均检测延迟仍超过...OAuth 2.0授权虽简化了单点登录（SSO），但也导致权限过度授予问题。例如，一个仅需读取日历的协作工具，常被授予“完全访问邮箱”权限，一旦该应用令牌泄露，攻击者可直接读取高管邮件。...此过程中，攻击者无需部署恶意软件，全程利用合法API调用，规避传统EDR检测。思科报告显示，73%的勒索事件中，攻击者在获得凭证后4小时内完成数据加密或外传。...4.4 管理层：文化与流程重塑部署对话式钓鱼模拟：不同于传统一次性测试，采用持续性、上下文感知的模拟（如模拟IT部门在Teams中询问“是否收到安全更新邮件？”），提升员工警惕性。

2631 0

ConsentFix浮出水面：当“同意”成为攻击入口，你的邮箱早已不是你的邮箱

用户若已登录 Microsoft 365 账户，则无需再次输入密码，直接进入 OAuth 同意界面。窃取令牌：此时，页面会显示一个文本框，要求用户“复制下方 URL 并粘贴以完成验证”。...：代表用户执行操作，如 Mail.Read（读取用户邮件）。...Application Permissions（应用权限）：以应用自身身份执行操作，如 Mail.Read.All（读取组织内所有用户邮件）。...早期注册的应用常使用一种称为 “legacy scopes” 的宽泛权限集，例如 Office365ManagementAPI 或 Directory.Read.All。...对企业而言，是时候重新审视身份基础设施了——你的 IAM（身份与访问管理）系统，是否能回答这三个问题：谁在何时授予了什么应用哪些权限？这些权限是否仍在使用？

1541 0

“量子重定向”钓鱼风暴席卷全球：企业云邮箱成新猎场，MFA也挡不住的自动化攻击

在多个已确认的案例中，被盗账户被用于线程劫持（Thread Hijacking）——即冒充合法员工，在已有邮件对话中插入虚假发票或付款指令，诱导财务人员转账。...实际上，该验证码会被实时转发至攻击者控制的代理服务器，并立即用于完成真实Microsoft 365的登录流程。整个过程在几秒内完成，用户甚至来不及反应。...此外，攻击者还利用OAuth授权钓鱼（Consent Phishing）手段，诱导用户授予恶意应用“读取邮件”、“发送邮件”等权限。一旦同意，即使未泄露密码，攻击者也能通过合法API访问邮箱内容。...$select=id,displayName,authentication/methods同时，在Azure AD条件访问策略中，强制高权限账户仅允许使用FIDO2或Microsoft Authenticator...收紧外部共享与文档链接默认情况下，Microsoft 365允许用户生成“任何人可访问”的共享链接。攻击者常利用此功能上传恶意文档，诱导点击。

1221 0

微软365“直发”功能被黑客盯上，企业邮件安全再拉警报

近日，网络安全领域再传警讯：全球广泛使用的办公平台微软365（Microsoft 365）中的一项名为“Direct Send”的邮件发送功能，正被网络犯罪分子大规模滥用，用于发起更具欺骗性的钓鱼攻击。...这一功能本是为企业IT管理员设计的，允许他们直接从服务器发送邮件，无需经过常规的邮件网关，常用于系统通知、自动化报告等场景。...一旦用户点击，便可能被引导至伪造的登录页面，进而泄露微软365账户、银行信息等敏感凭证，造成数据泄露或财务损失。...微软公司已发布安全通告，确认了这一威胁，并建议企业管理员立即审查并严格限制Direct Send功能的使用权限，仅授予必要人员，并启用多因素认证（MFA）以增强账户安全。...同时，微软建议企业部署更高级的云安全防护工具，如Microsoft Defender for Office 365，以增强对异常邮件行为的检测能力。

2601 0

基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

摘要近年来，针对Microsoft 365（原Office 365）生态系统的网络钓鱼攻击呈现高发态势，传统依赖邮件网关与服务器端策略的防护手段已难以应对通过短信、社交媒体、语音通话等非邮件渠道传播的恶意链接...用户在不知情的情况下输入账户密码，凭证被实时捕获。...然而，这些服务均为云端集中式策略，无法干预用户在本地浏览器中与任意Web页面的交互行为。一旦用户被诱导离开受保护的邮件环境，进入攻击者控制的页面，上述所有云端策略均无法生效。...所有日志仅包含时间戳、被拦截的URL与事件类型，不包含任何用户输入内容。...URL解包与沙箱集成：对短链接（如bit.ly）进行递归解析，并在隔离环境中渲染页面以提取真实域名。

2591 0

基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

据微软2025年财报，其活跃商业用户数已突破3.8亿。然而，这一集中化身份入口也使其成为网络攻击的首要目标。...整个过程符合用户对M365交互的预期，几乎不触发怀疑。...根据Cato Networks 2025年9月报告，在某美资投资公司测试中，该类邮件的点击率达41%，凭证提交率达28%。...这些内容均来自M365真实通知模板，且常通过移动端推送（如Outlook App通知）增强紧迫感。邮件HTML中嵌入真实Microsoft Logo与CSS样式，提升视觉可信度。...应转向情境化训练：演示如何检查浏览器地址栏中的根域名（如login.microsoftonline.com而非microsoft-office.com）；教育用户：MFA推送不应在无主动登录时出现；推广

2401 0

微软：超1万家企业遭受钓鱼攻击

攻击者使用登陆页面欺骗Office在线认证页面，从而绕过多因素认证（MFA），实现劫持Office 365认证的目的。...在窃取了目标的凭证和他们的会话Cookie后，这些攻击者会登录受害者的电子邮件账户，并使用受害者的访问权限进行针对其他组织的商业电子邮件泄露（BRC）活动。...在攻击者得到目标的会话Cookie后，他们将其注入自己的网络浏览器，这使得他们可以规避MFA，实现认证过程的跳过。然后在针对其他组织的商业电子邮件泄露（BRC）活动中使用他们窃取的访问权限。...为了防御此类攻击，微软仍然建议用户使用 MFA并支持基于证书的认证和Fast ID Online (FIDO) v2.0。...微软还建议用户监测可疑的登录尝试和邮箱活动，以及采取有条件的访问策略，以阻止攻击者试图使用来自不合规设备或不可信任的IP地址的被盗会话Cookies。

6702 0

点击加载更多

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

案例分析：利用OAuth实施钓鱼

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

基于OAuth滥用的定向钓鱼攻击与防御机制研究

可能是Salesforce与Microsoft Dynamics 365的最全面的比较

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

面向Microsoft 365的新型钓鱼工具包技术剖析与防御策略研究

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

RaccoonO365钓鱼即服务的运作机制与防御体系构建

大型语言模型安全实践：Copilot安全防护经验总结

凭证窃取主导下的现代网络攻击链演化与防御体系构建

ConsentFix浮出水面：当“同意”成为攻击入口，你的邮箱早已不是你的邮箱

“量子重定向”钓鱼风暴席卷全球：企业云邮箱成新猎场，MFA也挡不住的自动化攻击

微软365“直发”功能被黑客盯上，企业邮件安全再拉警报

基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

微软：超1万家企业遭受钓鱼攻击

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐