如何在outlook加载项中保存登录令牌 - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

该工具包通过动态反向代理机制，在用户完成完整认证流程（包括输入密码与MFA验证码）后，同步截获有效会话Cookie与访问令牌，并立即用于接管Microsoft 365账户，实现对Outlook、Teams...当受害者点击钓鱼邮件中的链接（如“查看新发票”）时，被重定向至攻击者控制的仿冒登录页面。该页面并非静态表单，而是动态代理请求至真实的login.microsoftonline.com。...；用户被正常重定向至Outlook等应用，全程无异常感知；攻击者利用所获Cookie或访问令牌，通过脚本或浏览器自动化工具直接登录同一会话。...；页面加载后是否立即执行脚本（沙箱常加速执行）。...当检测到高风险事件（如密码重置、设备丢失报告），CAE可在数秒内使相关访问令牌失效，大幅缩短攻击窗口。管理员需在Azure AD中启用CAE并确保应用支持增量权限撤销。

2541 0

ConsentFix浮出水面：当“同意”成为攻击入口，你的邮箱早已不是你的邮箱

它不靠伪造登录页骗密码，也不依赖恶意附件植入木马，而是利用用户对“正常流程”的信任，在一次看似无害的“点击同意”中，悄然接管整个办公账户。...用户若已登录 Microsoft 365 账户，则无需再次输入密码，直接进入 OAuth 同意界面。窃取令牌：此时，页面会显示一个文本框，要求用户“复制下方 URL 并粘贴以完成验证”。...多因素认证旨在防止密码泄露后的未授权登录，但 ConsentFix 根本不需要登录——它利用的是用户已存在的会话。只要用户当天登录过 Outlook Web，攻击即可成功。第四，用户培训效果存疑。...人性中的服从性与对权威界面的信任，是这类攻击的燃料。”更严峻的是，授权一旦授予，持久有效。除非管理员手动撤销，否则即使用户更改密码、登出所有设备，攻击者仍可通过刷新令牌持续获取新访问令牌。...一旦检测到登录，立即弹出伪造的“安全扫描”窗口，诱导用户粘贴令牌 URL。该手法与 ConsentFix 异曲同工，均属“授权型钓鱼”。“国内企业对第三方应用授权的管理普遍薄弱。”

1731 0

您找到你想要的搜索结果了吗？

是的

没有找到

云邮箱钓鱼攻击趋势与企业防御体系重构

Outlook Web App的蓝色主色调与圆角设计URL路径伪装为 https://outlook.office.com/quarantine/release?...（2）线程劫持（Thread Hijacking）：攻击者监听公开论坛或GitHub Issue中企业员工的邮件地址，随后伪造同一邮件主题下的回复，插入钓鱼链接。...典型流程如下：用户在钓鱼页面输入凭据；攻击脚本实时将凭据转发至真实登录接口，完成身份验证；获取有效的会话Cookie或OAuth 2.0访问令牌；直接注入浏览器或API调用，绕过MFA校验。...；动态内容：钓鱼页面通过JavaScript延迟加载恶意表单，规避静态扫描；平台内嵌链接：如Google Docs共享链接本身合法，但目标文档含诱导性文本，网关难以判定意图。...（1）部署FIDO2/PasskeysFIDO2标准通过公钥加密实现无密码登录。用户注册时，设备生成唯一密钥对，私钥永不离开安全芯片（如TPM、Secure Enclave）。

2561 0

【改进和增强Microsoft Office应用程序】ExtendOffice软件产品介绍

早在2004年，该公司的创始人就启动了Addintools.com来销售Microsoft Office的加载项。...05、建立新文件您可以通过双击选项卡栏空白处的左按钮来快速创建新文档，或者选择使用上下文菜单上的“新建”命令项。06、保存文件上下文菜单中的“保存”和“全部保存”命令可用于一键保存所有文档。...Kutools for Excel简介Kutools for Excel是一个便捷的Excel加载项，具有300多种高级功能，可将各种复杂的任务简化为在Excel中的几次单击。...无疑，此功能强大且用户友好的加载项将为Excel用户节省大量工作时间，并大大提高工作效率。...08、保存/自动保存 Outlook 中的附件如果您想从Outlook中批量下载并保存附件， Kutools for Outlook“ 保存/自动保存附件功能可能的方法。

16.7K2 0

新型钓鱼工具包横空出世：连多因素认证（MFA）都能绕过，你的邮箱还安全吗？

黑客能“同步登录”当用户在伪造页面输入账号密码后，攻击者的代理服务器会立即用这些凭据尝试登录真实微软系统，并将MFA验证请求（如短信验证码、微软验证器App推送）实时转发给用户。...凭借它，攻击者无需再次输入密码或MFA，就能像你一样登录Outlook、SharePoint、Teams等所有Microsoft 365服务，且行为在系统日志中看起来“完全正常”。...一旦检测到异常（如异地登录、新设备），立即要求重新验证或终止会话。“CAE就像一个‘实时安检员’，不再是一次验证终身有效。”...加强异常行为监测与用户教育企业应部署SIEM或XDR系统，监测以下异常信号：同一会话中User-Agent或IP地址发生突变；短时间内从不同地理位置登录；非工作时间访问敏感资源；大量邮件被设置隐藏规则或自动转发...同时，对员工进行针对性教育：“如果在登录微软账户时，页面出现短暂闪烁、加载延迟或跳转异常，很可能是遭遇了中间人代理，请立即关闭页面并报告IT部门。”

3101 0

Exchange漏洞攻略来啦！！

3、邮件检索在后台管理中,还有一项多邮箱检索邮件的功能,但较为耗时,对于体量较大的邮件系统不建议使用。...规则和通知功能的滥用 Outlook 提供了一项“规则和通知”（Rules and Alerts）的功能,可以设置邮件接收和发送的策略,分为规则条件和动作,即用户定义当邮件满足某些条件时（如邮件主题包含特定词语...主页设置功能的滥用在 Outlook 中,提供了一个功能允许用户在使用 Outlook 的时候设置收件箱界面的主页,可以通过收件箱的属性来设置加载外部 URL,渲染收件箱界面。...因此,当已拥有合法邮箱凭证的前提下,可以利用该功能,为邮箱用户设置收件箱主页 URL 属性,将其指向包含恶意代码的页面,当用户在 Outlook 中浏览刷新收件箱时,将触发加载恶意页面,执行恶意脚本代码...Outlook 收件箱主页指向的 URL 在 Outlook 中通过 iframe 标签加载,其执行 wscript 或 vbscript 受沙箱环境限制,无法使用脚本代码创建敏感的恶意对象,即无法直接通过

9.1K2 0

Outlook如何备份邮件

如何在outlook中添加新账户点击outlook菜单栏上的“文件”选项，可以看到主界面右侧有一个“添加账户”的选项。 ? 点击“添加账户”，进入其设置界面。...包括下面的登录密码。 ? 再点击右侧的“其他设置”，进入其设置界面，选择“发送服务器”选项。请勾选要求验证。 ? 最后点击“测试用户设置”，测试成功，将会提示完成所有测试。...Outlook如何备份邮件打开Outlook2010，点击右上角“文件”菜单，然后选择“ 选项”，如下图： ? ?...在弹出的“导出到文件”对话框选中“Outlook数据文件（.pst）”，继续“下一步” ? 之后我们选择备份收件箱，即备份收件箱里面全部的邮件，点击“下一步”，如下图： ?...下一步之后是提醒你需要保存备份到哪个位置，我们单击“浏览”，在弹出的保存对话框中选中你需要把备份文件保存在哪里，这里我们以保存到E盘为例，然后单击确定，之后点击完成，如下图： ?

4.6K2 0

面向Microsoft 365的新型钓鱼工具包技术剖析与防御策略研究

本文基于对QRR样本的逆向分析，系统解构其技术架构，包括上下文感知的钓鱼页面生成、基于访问者特征的动态路由逻辑、以及实时MFA令牌劫持流程。...若判定为非真实用户，则返回合法静态页面（如公司官网快照）；否则加载钓鱼表单。以下为简化版实现：加载用户点击链接后，router.php判定其为真实用户，返回phish.html。页面监听表单提交：中配置策略，要求所有用户使用硬件密钥（如YubiKey）登录。FIDO2基于公钥加密，私钥永不离开设备，彻底杜绝凭证钓鱼。...，限制高风险登录：条件：登录风险等级为“中”或“高”；授予控制：必须满足“合规设备”且“多重验证”。

2351 0

开发者openshift4使用入门教程 - 9 - 通过IDE插件无缝衔接

. ❤️❤️❤️ 一概述一句话总结本文内容: 如何在Idea等IDE中使用OpenShift 4 插件....通用命令 Log in to cluster-登录到您的容器平台并保存登录信息以备后用。 Credentials 凭据：使用给定的凭据登录到给定的服务器。...Token 令牌：使用承载令牌登录以对API服务器进行身份验证。...使用扩展连接到您的OpenShift实例在Visual Studio Code中安装了扩展程序之后，它将提示您下载所需的依赖项（oc，odo）。...现在，您可以使用以下方法登录到服务器：凭据：使用给定的凭据（基本身份验证）登录到给定的服务器。令牌：使用给定的凭据（令牌）登录到给定的服务器。

4.9K2 0

“VoidProxy”钓鱼平台可绕过多重验证，专家警告：你的“已验证”账号可能正被实时劫持

简单来说，它不是简单地伪造一个登录页面，而是搭建一个“中间网关”，在用户与真实服务（如Outlook、Google Workspace）之间进行实时流量中转。...整个过程如下：用户点击钓鱼邮件中的链接，进入一个与官方登录页高度相似的伪造页面；用户输入账号密码后，该信息被立即转发至真实的Google或Microsoft服务器；真实服务器返回MFA验证请求（如短信码...一旦攻击者获取了有效的会话令牌（Session Token）或Cookie，就可以绕过所有登录验证，直接以合法用户身份访问邮箱、云盘、协作工具等资源。而这些令牌通常在用户登出或长时间未使用前一直有效。...芦笛和多家安全机构联合提出以下五项关键防御策略：采用FIDO2/WebAuthn强认证使用基于硬件的安全密钥（如YubiKey）或生物识别认证，这类认证方式支持“源绑定”（Channel Binding...启用短周期令牌刷新与异常会话撤销缩短会话令牌的有效期，并结合API实时监控异常行为（如短时间内大量文件下载、跨时区登录）。一旦发现可疑活动，立即强制登出所有会话。

3001 0

Outlook.com邮箱环境在iOS浏览器下的Stored XSS漏洞

1、在苹果系列移动终端的iOS系统中，按照以下示例，创建一个MSoffice的PPT文件，其中包含一个指向地址为“javascript:prompt(document.cookie)” 的超链接，然后保存为...outlook.live.com 登录个人邮箱进行收件，打开攻击者发送的上述邮件，并点击其中的ppt附件下载。...注意，此时下载操作并不会向电脑端那样直接保存到本地，而是由谷歌Chrome iOS浏览器对ppt文件解析打开，而受害者在文件打开之后，一旦点击了ppt中的那个超链接，就会触发“javascript:prompt...4、当然，如果直接通过iOS中的Chrome浏览器进行在线的ppt解析加载（Powerpoint online）或执行附件预览，如下： ?...当然了，只要在iOS系统中用outloook邮箱账户登录，预览打开这种经过构造的附件，XSS攻击一样也能在Safari, Firefox, Chrome, Opera中实现。如下： ?

2.4K2 0

从Java全栈到前端框架：一次真实的面试对话

**应聘者**：好的，比如在useUser中，我们会调用后端API获取用户信息，并且使用ref来保存用户数据。同时，我们还使用了onMounted来在组件挂载时加载数据。...**面试官**：那你能说说你是如何在项目中集成Element Plus的吗？ **应聘者**：首先，我们需要安装Element Plus，然后在main.js中引入它。...**应聘者**：Vite的配置相对简单，只需要在vite.config.js中添加一些插件和配置项即可。比如，我们可以使用@vitejs/plugin-vue来支持Vue文件。...用户登录后，服务器会生成一个JWT令牌，客户端在后续请求中携带这个令牌。 **面试官**：那你能说说你是如何在后端生成JWT的吗？ **应聘者**：我们使用了jjwt库来生成和解析JWT。...在用户登录时，服务器会验证用户的凭证，如果正确，就生成一个包含用户信息的JWT令牌。

2461 0

登录GitHub要求2FA了，安全且免费密保使用

如果无法启用强制 2FA，则属于帐户的令牌将继续有效，因为它们用于关键自动化。这些令牌包括 personal access tokens 以及颁发给应用程序以代表你行事的 OAuth 令牌。...启用 2FA 不会撤销或更改为你的帐户颁发的令牌的行为。但是，在启用 2FA 之前，锁定的帐户将无法授权新应用或创建新 PAT。...适配2FA笔者在7月中旬收到了GitHub官方的通知邮件，要求用户启用双因素身份验证（2FA）。「当时忙着婚礼，记在Todo中」图片图片于是我点击邮件中的点击此处开始按提示尝试开启 2FA。...图片点击图标打开后，按提示点击 “接受”，再点击“通过 Microsoft 登录”，使用邮箱作为账号登录，如果已有微软账号直接登录即可，如果没有建议使用 Outlook 邮箱或者 Hotmail 邮箱注册账号登录...记得保存自己的恢复代码哦。

4.2K0 1

Ubuntu 20.04 开启并使用二步验证教程 (Two-Factor Authentication)

本文中老唐将说明如何在 Ubuntu 20.04 上使用 Google Authenticator PAM 模块进行 SSH 和 sudo 身份验证。...默认情况下，令牌每 30 秒过期一次。窗口大小 3 允许在当前令牌之前和之后使用令牌进行身份验证以进行时钟偏移。...一个秘密的钥匙，如果您无法扫描二维码，请在您的应用中输入此密钥。初始验证码，该验证码将在30秒后失效。 10 个一次性使用紧急代码的列表。...sshd_config 6、将 ChallengeResponseAuthentication 设为 yes： ChallengeResponseAuthentication yes 7、检查下面几个设置项是否正确设置...六、从二次验证锁定中恢复 1、紧急备份如果您无法访问身份验证器应用程序，请使用您的紧急备用代码之一。该代码仅供一次性使用。

5.3K7 0

WEB安全新玩法阻止订单重复提交

我们看看如何在不修改网站源代码的前提下，使用 iFlow 通过透明加入一次性令牌来阻止订单的重复提交攻击。...在本例中，iFlow 在加载订单支付代码时生成并加入一次性随机令牌，在提交订单时检查这个令牌的存在。...iFlow 截获这段代码的响应返回，生成一个随机令牌保存在本地存储中，并修改 JS 代码将随机令牌加入到 AJAX 发送列表中。...用户在点击提交订单按钮时，JS 代码发出 AJAX 请求将随机令牌随同订单信息一起发出，iFlow 截获请求，检查参数中的令牌是否与保存的令牌一致，并清除本地存储中保存的令牌。...注意：上述会话中的 order_token 标志是保存在服务器端的 iFlow 存储中的，在浏览器端是看不到数据更无法进行伪造的。

2K2 0

安卓应用安全指南 5.3.2 将内部账户添加到账户管理器规则书

5.3.2.3 登录界面活动必须是公共活动，并假设其他应用的攻击访问（必需）登录界面活动是由用户应用加载的系统。...敏感信息（如密码或认证令牌）不应输出到日志中。日志信息可以从其他应用读取，因此可能成为信息泄露的原因。此外，如果帐户名称的泄漏可能导致损失，则不应将帐户名称输出到日志中。...5.3.2.6 密码不应该保存在账户管理器中（推荐）两个认证信息，密码和认证令牌可以保存在一个账户中，来注册账户管理器。...本文中介绍的认证应用旨在将认证令牌保存在账户管理器中，而不保存用户密码。在一定时间内连续访问在线服务时，通常认证令牌的有效期限会延长，因此在大多数情况下，不保存密码的设计就足够了。...因此，最好从设计中避免在账户管理器中保存密码。在不能避免保存密码的设计的情况下，应该采取高级别的逆向工程对策，如加密密码和混淆加密密钥。

1.5K2 0

“MFA已过时？”Tycoon 2FA钓鱼套件掀起会话劫持风暴，全球超6万账户沦陷

整个过程对用户完全透明：用户看到的是合法SSL证书（由Let's Encrypt签发）、正确的页面布局、甚至动态加载的微软品牌资源；输入密码后，代理立即将凭证转发至真实登录接口；当MFA验证码弹出，用户输入后...这种AitM架构使得钓鱼页面能动态响应真实服务器的错误提示（如“密码错误”“账户锁定”），极大提升欺骗性。...Cybereason的分析显示，Tycoon 2FA甚至能解析微软登录流程中的webparts组件，实时更新页面状态，让用户误以为操作始终在官方环境中进行。...（1）Token绑定（Token Binding）与客户端证明现代身份协议如OAuth 2.0 DPoP（Demonstrating Proof-of-Possession）和FIDO2支持将访问令牌与客户端公钥绑定...所有外部链接在云端沙箱中打开，本地终端仅接收渲染画面，无法泄露Cookie。同时，实施会话地理一致性策略：若用户在北京登录，一小时后却从莫斯科访问邮箱，系统应自动登出并要求重新认证。

3041 0

多任务处理成钓鱼攻击“帮凶”？新研究揭示分心如何让你掉入网络陷阱

近日，纽约州立大学奥尔巴尼分校（University at Albany, SUNY）的一项研究成果发表于《欧洲信息系统杂志》（European Journal of Information Systems...分心之下，连“可疑域名”都看不见研究团队在受控但贴近现实的办公环境中，招募了数百名参与者，让他们在处理日常任务（如撰写报告、回复即时消息、参加线上会议）的同时，接收模拟的钓鱼邮件。...结果显示：与专注处理邮件的对照组相比，多任务组点击恶意链接的概率高出近40%，对邮件中明显的语言漏洞（如“紧急！请立即验证您的账户！”）...其他时间非紧急邮件可延迟查看；启用“阅读视图”：多数邮箱（如Outlook、Gmail）支持隐藏图片、禁用外部内容加载，减少视觉干扰，也防止钓鱼邮件通过图片追踪你是否已读；遇验证请求，绝不点链接：任何要求输入密码...应手动打开官方App或通过企业统一门户（如SSO登录页）操作。攻防升级：钓鱼技术也在“AI化”值得注意的是，随着生成式AI普及，钓鱼攻击正变得越来越“聪明”。

1611 0

“Route Redirect”钓鱼工具席卷全球：微软365用户成新目标，专家呼吁强化无密码认证

例如，一名位于德国的用户可能看到德语版的Outlook登录界面，而巴西用户则会被引导至葡萄牙语页面——这种“本地化”设计极大提升了欺骗成功率。...芦笛解释道，“如果攻击者能在你输入密码并通过短信或验证器验证的那一刻，立即捕获你的会话令牌（session token），他们就能直接以你的身份访问邮箱、OneDrive甚至Teams——整个过程你毫无察觉...此外，他还提出三项关键措施：禁用高风险遗留协议：如IMAP、POP3和Exchange ActiveSync。这些协议不支持现代条件访问策略，且常被攻击者用于绕过MFA进行数据导出。...部署运行时内容隔离与点击时沙箱：当用户点击可疑链接时，系统可在隔离环境中自动解析整个重定向链条，提前识别钓鱼行为，而非等到页面加载完毕。...对于普通员工或个人用户，芦笛给出几点实用建议：永远不要直接点击邮件中的“登录”按钮，尤其是来自银行、IT部门或“微软安全团队”的紧急通知。正确做法是手动打开官网或使用书签。

2141 0

Spring Boot 与 Spring Security 的集成及 OAuth2 实现

在 Spring Boot 项目中，这可以通过在 pom.xml 文件中添加以下依赖项来实现： org.springframework.boot如 API），并验证访问令牌的有效性。...} } 在这个配置中，/api/public/** 路径下的资源可以被匿名访问，而 /api/private/** 下的资源则需要用户通过 OAuth2 登录并携带有效的访问令牌才能访问。...前端集成与访问受保护的资源在前端应用中（如使用 React 或 Angular），当用户通过 OAuth2 登录成功后，应用会获取到一个访问令牌。...我们从浏览器的 localStorage 中获取了访问令牌，并将其附加在请求头的 Authorization 字段中，以 Bearer 令牌的格式发送给后端服务器。

4.1K1 0

点击加载更多

基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

ConsentFix浮出水面：当“同意”成为攻击入口，你的邮箱早已不是你的邮箱

云邮箱钓鱼攻击趋势与企业防御体系重构

【改进和增强Microsoft Office应用程序】ExtendOffice软件产品介绍

新型钓鱼工具包横空出世：连多因素认证（MFA）都能绕过，你的邮箱还安全吗？

Exchange漏洞攻略来啦！！

Outlook如何备份邮件

面向Microsoft 365的新型钓鱼工具包技术剖析与防御策略研究

开发者openshift4使用入门教程 - 9 - 通过IDE插件无缝衔接

“VoidProxy”钓鱼平台可绕过多重验证，专家警告：你的“已验证”账号可能正被实时劫持

Outlook.com邮箱环境在iOS浏览器下的Stored XSS漏洞

从Java全栈到前端框架：一次真实的面试对话

登录GitHub要求2FA了，安全且免费密保使用

Ubuntu 20.04 开启并使用二步验证教程 (Two-Factor Authentication)

WEB安全新玩法阻止订单重复提交

安卓应用安全指南 5.3.2 将内部账户添加到账户管理器规则书

“MFA已过时？”Tycoon 2FA钓鱼套件掀起会话劫持风暴，全球超6万账户沦陷

多任务处理成钓鱼攻击“帮凶”？新研究揭示分心如何让你掉入网络陷阱

“Route Redirect”钓鱼工具席卷全球：微软365用户成新目标，专家呼吁强化无密码认证

Spring Boot 与 Spring Security 的集成及 OAuth2 实现

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐