文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中,第三方应用若需访问用户资源(如邮件、日历),必须通过OAuth 2.0授权码流程获取权限。...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...关键点在于:多租户应用(multi-tenant app)允许任何组织的用户自行同意,除非管理员显式禁用此功能。...)需管理员批准。

24310

VoidProxy平台对多因素认证的绕过机制与防御对策研究

一旦攻击者控制企业高管或IT管理员的邮箱、云文档或身份管理后台,即可利用B2B协作信任链发起供应链攻击——例如伪造合作方邮件、篡改共享合同、或通过合法API导出敏感数据。...,即使用户登出仍有效;Access Token:短期有效(通常1小时),但可用于调用Microsoft Graph API。...例如,若受害者通常使用Windows 11 + Chrome 124访问Office 365,攻击者将配置代理以相同特征发起API请求,使登录活动在审计日志中呈现为“正常行为”。...四、纵深防御体系构建为有效抵御VoidProxy类攻击,需从身份验证、会话管理与终端安全三个层面重构防御策略。...(三)浏览器内令牌绑定(DPoP)推动SaaS供应商支持OAuth 2.0 DPoP规范。DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌,该私钥与TLS连接绑定。

24610
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    PwnAuth——一个可以揭露OAuth滥用的利器

    Web应用程序为渗透测试人员提供了一个易于使用的UI,管理恶意OAuth应用程序、存储收集的OAuth令牌以及与API资源进行交互。...虽然任何允许OAuth应用程序的云环境都可以成为目标,但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序,捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API...图1:将一个Microsoft App导入PwnAuth 配置完成后,可以使用生成的“授权URL”对潜在受害者进行钓鱼。点击后,PwnAuth将捕获受害者OAuth令牌供以后使用。...Office 365特别为管理员提供了一些选项: · 拥有Cloud App Security的企业可以利用“应用程序权限”功能查询和阻止第三方应用程序。 · 管理员可以阻止对第三方应用程序的访问。...我创建了一组脚本来帮助管理员在云环境中搜索恶意OAuth应用程序。目前有一个脚本可以调查Office 365占用者并计划添加其他云环境。

    2.5K20

    ConsentFix攻击机制与OAuth授权滥用的防御对策研究

    四、企业授权管理现状与漏洞尽管主流云平台提供应用授权管理界面(如Microsoft Entra ID中的“应用权限”面板),但多数企业在实践中存在以下问题:第一,授权可见性不足。...而企业级批量撤销功能通常权限过高,仅限全局管理员使用,响应速度慢。第四,安全培训缺失。 多数安全意识培训聚焦于“不要点击可疑链接”或“不要泄露密码”,却极少解释“授权同意”的风险。...),将Mail.Read、Files.Read.All等标记为“高风险”,强制管理员审批;启用Just-In-Time(JIT)授权:对非必要应用,设置授权有效期(如24小时),超时自动失效;部署应用许可策略...(二)策略管理层:建立授权生命周期管理定期授权审计:每季度导出全组织应用授权清单,清理未使用或来源不明的应用;实施最小权限原则:推动业务部门使用权限更细的现代API(如Microsoft Graph的delegated...permissions with scopes);自动化撤销机制:当检测到可疑活动时,自动调用Microsoft Graph API撤销相关应用授权:# 使用Microsoft Graph API撤销用户授权

    19210

    开源软件又出大事件,ownCloud 曝出三个严重漏洞

    官方建议的修复方法是删除 "owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php "文件,禁用 Docker...容器中的 "phpinfo "函数,并更改可能暴露的机密,如 ownCloud 管理员密码、邮件服务器、数据库凭据和对象存储/S3 访问密钥。...如果用户的用户名已知且未配置签名密钥(默认设置),攻击者就有可能在未经身份验证的情况下访问、修改或删除任何文件。 已公布的解决方案是,如果没有为文件所有者配置签名密钥,则拒绝使用预签名 URL。...在 oauth2 应用程序中,攻击者可以输入特制的重定向 URL,绕过验证码,将回调重定向到攻击者控制的域。 官方建议采取的缓解措施是加固 Oauth2 应用程序中的验证代码。...官方建议ownCloud 的管理员立即应用建议的修复程序,以降低风险。

    81310

    开源软件又出大事件,ownCloud 曝出三个严重漏洞

    官方建议的修复方法是删除 "owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php "文件,禁用 Docker...容器中的 "phpinfo "函数,并更改可能暴露的机密,如 ownCloud 管理员密码、邮件服务器、数据库凭据和对象存储/S3 访问密钥。...如果用户的用户名已知且未配置签名密钥(默认设置),攻击者就有可能在未经身份验证的情况下访问、修改或删除任何文件。 已公布的解决方案是,如果没有为文件所有者配置签名密钥,则拒绝使用预签名 URL。...在 oauth2 应用程序中,攻击者可以输入特制的重定向 URL,绕过验证码,将回调重定向到攻击者控制的域。 官方建议采取的缓解措施是加固 Oauth2 应用程序中的验证代码。...官方建议ownCloud 的管理员立即应用建议的修复程序,以降低风险。

    71110

    【壹刊】Azure AD(二)调用受Microsoft 标识平台保护的 ASP.NET Core Web API (上)

    我们可以通过Azure的标识平台生成应用程序,采用微软表示登录,以及获取令牌来调用受保护的API资源。也就是说这一切功能也是基于包含Oauth 2.0和Open ID Connect的身份验证服务。...OpenID 的创建基于这样一个概念:我们可以通过 URI (又叫 URL 或网站地址)来认证一个网站的唯一身份,简单通俗的理解,OpenID是用来做为身份验证的   2,OAuth 2.0是用于授权的行业标准协议...它允许客户端基于授权服务器执行的身份验证来验证最终用户的身份,并以可互操作且类似于REST的方式获取有关最终用户的基本配置文件信息。...“---》“委托的权限” 来添加下面绿框架中的两个权限,管理员同意后,前端应用就拥有调用后端API的权限了。...代码稍等,我会整理一下,上传到github中 作者:Allen 版权:转载请在文章明显位置注明作者及出处。如发现错误,欢迎批评指正。

    2.7K40

    俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱,安全界拉响新型OAuth攻击警报

    # 攻击者侧:使用Microsoft Graph API发起设备代码请求(简化示例)import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后,攻击者即可调用Microsoft Graph API,读取邮件、日历、OneDrive文件、Teams消息,甚至发送新邮件冒充受害者——全程无需知道密码...答案在于:设备代码钓鱼攻击发生在身份验证之后,且完全走合法API通道。...(2)审计第三方应用授权所有用户都应定期检查其Microsoft 365账户的“隐私仪表板”中的应用权限:https://account.microsoft.com/privacy/管理员则可通过PowerShell...六、未来展望:OAuth安全将成为云时代主战场设备代码钓鱼只是冰山一角。随着零信任架构普及,基于令牌的身份验证将取代密码成为主流。

    17810

    设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

    为支持无浏览器设备(如IoT终端、命令行工具)的身份验证,微软在其Azure Active Directory(Azure AD)中实现了OAuth 2.0设备授权流程(RFC 8628)。...4 攻击链复现与代码示例4.1 恶意应用注册攻击者首先在Azure AD中注册一个恶意应用(可使用个人微软账户完成,无需租户管理员权限):应用名称:Secure Document Sync重定向URI:...留空(设备授权无需回调)API权限:勾选Microsoft Graph的Delegated权限,如:Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...Graph API读取邮件:import requestswith open('stolen_token.json') as f:token = json.load(f)headers = {'Authorization...Applications → Consent and permissions → User consent settings;设置为“Do not allow user consent”;对必要应用建立白名单,仅允许管理员审批

    22810

    高级OAuth钓鱼攻击的演化机制与防御体系构建

    研究揭示了当前OAuth生态中重定向URI校验宽松、客户端凭据管理疏漏、用户授权界面缺乏风险提示等关键脆弱点,并结合真实攻击链路,提出涵盖策略控制、运行时检测与响应、开发安全加固三位一体的纵深防御框架。...向令牌端点换取访问令牌与刷新令牌;Client使用访问令牌调用受保护资源(如Microsoft Graph API)。...例如,许多组织允许通配符重定向URI(如https://*.example.com/*),或未对内部开发的测试应用实施生命周期管理,导致大量“影子OAuth应用”长期存在。...获得令牌后,攻击者通过Microsoft Graph API执行侦察:import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...更严重的是,若初始受害者拥有全局管理员权限,则整个租户面临沦陷风险。3.3 平台滥用与信任链污染除直接注册恶意应用外,攻击者还滥用合法SaaS平台隐藏攻击基础设施。

    28610

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    2 OAuth 2.0在Microsoft Entra ID中的授权流程为理解攻击原理,需首先厘清合法OAuth授权流程。...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...典型伪装策略包括:应用名称模仿官方工具:如“Microsoft Secure Access”、“Entra Verify Tool”;使用微软品牌图标:上传与Office 365相似的SVG或PNG图标...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...管理员需手动启用“用户无法注册应用”或“仅限批准应用”策略,但多数企业未配置。4.2 权限审查机制缺失用户授权后,无自动通知或定期审查机制。许多员工甚至不知自己授权过哪些应用。

    26710

    OpenAI推出企业级SharePoint连接器,挑战Microsoft 365 Copilot

    访问通过针对Entra ID的OAuth认证授予,并且仅限于用户可访问的信息,就像任何其他使用Graph API与SharePoint Online和OneDrive for Business交互的应用一样...ChatGPT SharePoint连接器的描述说:"管理员管理的同步连接器允许管理员进行一次身份验证并在整个组织内部署。用户无需自行设置任何内容 - 它直接工作。...要配置连接器,管理员必须同时是SharePoint Online(或租户)管理员和ChatGPT管理员。...在配置过程中,管理员可以选择同步所有文件,或将连接器范围限定到特定站点和文件夹,同步的副本将在ChatGPT中显示为'管理员管理'的文件。...使用Graph权限读取SharePoint的应用示例可在此处找到。

    17810

    设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

    Graph API,读取邮件、日历、联系人,甚至创建新应用或修改权限。...随后,攻击者可使用该令牌调用Graph API:# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...4.2 实施严格的用户与管理员同意策略Azure AD允许管理员配置“用户可以同意应用访问其数据”的策略。...建议:禁止用户同意所有第三方应用;仅允许可信发布者(Verified Publisher)的应用被用户授权;对高权限应用(如涉及Directory.ReadWrite.All)强制要求管理员审批。...因此,更可行的方案是“最小化启用”:仅对特定安全组(如IT管理员、开发团队)开放设备授权权限,其余用户默认禁用。此外,OAuth权限模型本身存在粒度不足问题。

    24910

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    : application/x-www-form-urlencodedclient_id=YOUR_APP_ID&scope=https://graph.microsoft.com/.default服务器返回...芦笛指出,“Azure AD 默认允许任何注册应用发起设备代码请求,而企业管理员往往不知道这一功能的存在,更未限制其使用范围。”...向 Azure AD 请求设备代码client_id = "ATTACKER_APP_ID" # 攻击者注册的恶意应用IDscope = "https://graph.microsoft.com/.default"resp...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:# 示例:读取受害者最近...禁用不必要的设备代码授权在 Azure AD 中,默认所有租户都启用了设备代码流。管理员应评估是否真的需要此功能(如无 IoT 设备集成需求),若否,则全局禁用。

    30810

    凭证窃取主导下的现代网络攻击链演化与防御体系构建

    此类攻击模式的成功,暴露出当前身份管理体系的多重脆弱性:弱密码策略、缺乏多因素认证(MFA)覆盖、OAuth授权过度宽泛、会话令牌生命周期管理缺失等。...典型路径如下:钓鱼获取员工凭证(含MFA绕过,如MFA疲劳攻击);登录云控制台(如Azure AD、AWS IAM);枚举高权限账户或服务主体;申请或窃取OAuth令牌/会话Cookie;通过Graph...此过程中,攻击者无需部署恶意软件,全程利用合法API调用,规避传统EDR检测。思科报告显示,73%的勒索事件中,攻击者在获得凭证后4小时内完成数据加密或外传。...地下论坛中,被盗企业凭证按权限等级明码标价:普通员工账号50–200,管理员账号1,000–5,000,云服务主体密钥可达$10,000以上。...4.4 管理层:文化与流程重塑部署对话式钓鱼模拟:不同于传统一次性测试,采用持续性、上下文感知的模拟(如模拟IT部门在Teams中询问“是否收到安全更新邮件?”),提升员工警惕性。

    25510

    聊天、会议、多媒体一体化:多平台支持的即时通讯系统 | 开源日报 No.44

    songquanpeng/one-api[5] Stars: 4.4k License: MIT One API 是一个开源的接口管理和分发系统,旨在支持多种大型模型 (如 OpenAI ChatGPT...支持多机部署,在令牌管理中设置过期时间和额度,并且可以进行兑换码管理批量生成与导出充值功能。...Library (MSAL) for .NET 是 Microsoft 提供的一款用于开发者身份验证和调用受保护 API 的库。...它使用行业标准的 OAuth2 和 OpenID Connect,支持获取安全令牌来访问受保护的 API,并且还提供了对 Azure AD B2C 的支持。...官方文档齐备:详细介绍了如何在不同平台上使用 MSAL.NET 进行快速入门,并提供相关示例代码进行参考。

    1.6K30

    基于OAuth滥用的定向钓鱼攻击与防御机制研究

    该团伙通过仿冒“贝尔格莱德安全会议”(BSC)与“布鲁塞尔印太对话”(BIPD)等高信誉活动,搭建高度仿真的注册网站,诱导目标使用Microsoft或Google账户进行OAuth授权登录。...关键词:OAuth钓鱼;中间人代理;UTA0355;定向攻击;Microsoft Entra ID;Google Workspace;条件访问策略1 引言随着单点登录(SSO)和第三方授权在企业数字化生态中的普及...2.3 设备码流程(Device Code Flow)滥用在针对Microsoft账户的变体中,UTA0355采用OAuth 2.0设备码流程,该流程原本用于无浏览器设备(如智能电视)的认证。...管理员可启用“第三方应用限制”策略,要求所有新应用必须经管理员审核:Admin Console > Security > API controls > App access control > Restrict...Graph API支持查询用户授予的同意记录:GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization:

    28210

    基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

    这些内容均来自M365真实通知模板,且常通过移动端推送(如Outlook App通知)增强紧迫感。邮件HTML中嵌入真实Microsoft Logo与CSS样式,提升视觉可信度。...获得有效会话后,攻击者通过Graph API注册恶意OAuth应用:POST https://graph.microsoft.com/v1.0/applicationsContent-Type: application..." },{ "id": "Chat.Read", "type": "Scope" }]}]}该应用随后被授予管理员同意(利用用户权限漏洞),获得长期访问令牌。...授权审批与监控启用“管理员审批”模式,要求所有新应用注册需经IT审核:Set-MgPolicyAuthorizationPolicy -PermissionGrantPolicyIdsAssignedToDefaultUserRole...应转向情境化训练:演示如何检查浏览器地址栏中的根域名(如login.microsoftonline.com而非microsoft-office.com);教育用户:MFA推送不应在无主动登录时出现;推广

    23510

    教育信息系统中的钓鱼攻击识别与防御机制研究——以滑铁卢地区教育局事件为例

    OAuth滥用:利用合法云服务(如Microsoft Azure AD)的第三方应用授权机制,诱导用户授予恶意应用“读取邮件”“发送邮件”等高危权限,绕过传统密码窃取检测。...针对OAuth滥用,开发应用权限审计模块。通过Microsoft Graph API定期拉取用户授权的应用列表,比对白名单。...().get('value', []):app_id = grant['clientId']# 查询应用详情app_url = f"https://graph.microsoft.com/v1.0/applications...appsdef revoke_unapproved_app(token, app_id):"""撤销未授权应用"""url = f"https://graph.microsoft.com/v1.0/me...6 讨论本框架的有效性依赖于几个前提:一是教育机构具备基础的日志采集与API集成能力;二是管理层愿意投入资源维护白名单与风险规则库;三是用户接受一定程度的交互干预(如二次验证)。

    20110
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券