文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

当受害者点击邮件中的链接时,并非直接访问文件,而是被引导至一个由攻击者控制的中间人代理服务器。...而在本案例中,攻击者只需在SharePoint中执行“共享”操作,微软的基础设施便会自动代劳发送邮件。...应用程序控制:限制仅允许受保护的浏览器或特定的客户端应用访问Office 365服务,防止攻击者使用自动化脚本或不受控的浏览器插件注入Cookie。...令牌异常分析:检测User-Agent字符串的突变、IP地址与地理位置的不匹配、以及短时间内大量文件访问行为。...在实际生产环境中,该脚本可集成到SIEM系统或作为Azure Function定时运行,一旦发现高危行为,立即触发自动化响应(如禁用共享链接、冻结用户账户)。

9610

Windows 商店应用中使用 SharePoint REST API

而针对远程 Web 或移动应用,必须先获得访问权限,才能使用 SharePoint 数据资源。      ...这两种是最常用的 API ,还有几种 API 能实现一些特定的功能,如:使用搜索服务:https://server/site/_api/search,访问用户配置文件:http://server/site...而文档内容的上传过程是:文件读取为 Stream,放入 POST 内容中。文件还有其他很多中操作方式,如更新,签出,签入,删除等。      ...(2)$filter 参数        如 SQL 中 Where 的使用方法,这里的 $filter 是用来筛选数据的筛选条件,使用方法是:_api/web/lists/getByTitle('Books...将获得的 OAuth 访问令牌加入到请求标头中。这里我们不做详细介绍了。关于 API本身的使用过程,和其他 API 没什么差异,这里就不做详细介绍了。

6.8K150
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    开源网盘空间本地挂载神器,挂载百度、ali云盘、OneDrive等云盘到本地工具-AList

    :http://服务器公网IP:5244 (如部署在云服务器上可直接互联网访问),如果是家庭宽带无公网 IP 的,那么需要额外配置「内网穿透」才可以实现。.../alist admin set NEW_PASSWORD​nginx反向代理宝塔中添加域名域名访问添加ali盘1.后台 ---> 存储 --->添加选择ali盘OPEN手机登录app,扫码,同意,点击...I have scan,获取刷新令牌填写到后台。...添加百度网盘1.添加驱动alist后台--->存储--->添加2.选择百度网盘,填入信息挂载路径: /百度网盘 (可以随便写)刷新令牌,可以通过以下地址获取回到主页即看到配置WebDAV首先下载 raidrive...账号:admin密码: 随机生成的密码连接公网配置地址: https:alist.xgss.net 端口: 443目录: /dav账号:admin密码:随机生成的密码点击连接最后可以当做电脑的一块硬盘使用

    2.9K00

    基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

    这种高频、合法的使用模式使得攻击者可轻易将恶意链接嵌入伪造的业务邮件中,例如:“您有一份待审阅的Q3财报,请点击此处查看”。...攻击者一旦获取低权限账户(如通过撞库或泄露凭证),即可创建看似合法的共享项,并设置短时效访问控制,进一步规避基于长期URL监控的威胁情报系统。...部分高级变种甚至支持OAuth授权码拦截,直接获取用户会话令牌,实现无密码持久化访问。四、检测模型构建针对上述攻击链,需建立多维度检测机制。...4.1 网络层异常检测尽管SharePoint域名合法,但钓鱼页面通常托管于非标准路径(如/Shared Documents/phish/),且访问频率异常。...五、防御体系构建5.1 权限最小化原则禁用非必要用户的“外部共享”权限对文档库设置“仅组织内成员可访问”审计并清理长期有效的匿名共享链接5.2 条件访问策略强化在Azure AD中配置策略:禁止从非托管设备访问

    25110

    SharePoint 高危零日漏洞 (CVE‑2025‑53770) 遭利用,实现无需认证的远程代码执行

    背景回顾我之前分析了 CVE‑2025‑49706 —— SharePoint中的一个欺骗漏洞,允许令牌操作、Web Shell上传以及在获得认证立足点后的横向移动。...,这是CVE‑2025‑49706的一个变种,涉及对特制的身份验证令牌处理不当——结合恶意的__VIEWSTATE有效载荷——导致直接在IIS工作进程中执行代码。...门户任何未在2025年7月打补丁且暴露在互联网上的SharePoint实例 攻击流程恶意请求发送到易受攻击的端点注入的__VIEWSTATE有效载荷或伪造的令牌绕过验证代码在IIS中以NT AUTHORITY...\SYSTEM权限执行Web Shell被上传,建立远程访问启动C2通信,开始横向移动️ 缓解与修补✅ 立即打补丁微软已于2025年7月20-21日发布了带外安全更新:SharePoint 2019 ➝...KB5002741SharePoint SE ➝ KB5002755SharePoint 2016 补丁待定——请尽快隔离服务器✅ 系统加固打补丁前,禁用对SharePoint的外部访问Set-MpPreference

    17410

    基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

    、SharePoint等核心服务的无缝访问。...尤其在Microsoft 365生态中,一旦攻击者获得有效会话Cookie或OAuth 2.0访问令牌,即可直接调用Graph API访问邮件、日历、文件甚至执行管理员操作,而无需再次触发MFA。...3.2 缺乏客户端上下文绑定标准OAuth 2.0或SAML流程中,颁发的令牌未与特定设备、浏览器或网络环境绑定。攻击者可在任意设备上重放令牌,只要未过期即可访问资源。...当检测到高风险事件(如密码重置、设备丢失报告),CAE可在数秒内使相关访问令牌失效,大幅缩短攻击窗口。管理员需在Azure AD中启用CAE并确保应用支持增量权限撤销。...(如Exchange Online、SharePoint Admin)要求FIDO2安全密钥。

    21010

    基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

    据CyberPress披露,攻击者通过已被攻陷的Microsoft 365账户创建真实的OneDrive或SharePoint文件共享链接,并在邮件中嵌入“文档已安全加密,请登录查看”等诱导性文案,大幅提升用户点击意愿...此类链接初期指向微软官方域名(如1drv.ms、sharepoint.com),通过SPF/DKIM验证,有效绕过传统邮件安全网关的外部域名过滤策略;随后,页面内嵌按钮或评论区中的二次跳转链接将用户导向仿冒登录门户...关键词:OneDrive钓鱼;云跳板攻击;中间人代理;条件访问;CASB;会话连续性;无密码认证1 引言在企业全面拥抱云协作的时代,Microsoft 365生态中的OneDrive与SharePoint...4 防御体系构建4.1 启用基于上下文的条件访问策略Azure AD条件访问可限制高风险会话的令牌颁发。...即使用户被诱导至仿冒页面,浏览器不会提示签名,攻击者无法获取有效凭证。更重要的是,无密码认证不产生可被代理复用的会话Cookie,从根本上消除AiTM的攻击面。

    32110

    为SharePoint 2013配置Office Web Apps

    Office Web Apps,相信大家都不陌生,那么如何让SharePoint文档库中的Office文档使用Office Web Apps打开呢? 如文档预览: ? 在线查看: ? 在线编辑: ?...您可以在规划 Office Web Apps(与 SharePoint 2013 一起使用)中查找有关如何获取允许用户使用 Office Web Apps Server 编辑文件的许可证的其他信息。...若要了解如何在 SharePoint Server 2013 中使用这些许可证,请参阅在 SharePoint Server 2013 中配置许可。 ?...若要验证是否正确安装并配置了 Office Web Apps Server,请使用 Web 浏览器访问 Office Web Apps Server 发现 URL,如下面的示例所示。...7.设置SharePoint绑定的WOPI区域 Office Web Apps Server 使用区域的概念来确定其与主机(此示例中为 SharePoint 2013)进行通信时将使用的 URL(内部或外部

    3.5K40

    “Zipline”鱼叉式钓鱼行动的技术机制与企业防御体系研究

    该攻击以物流通知、发票更新等高可信业务场景为诱饵,利用合法云存储服务(如OneDrive、SharePoint)和动态短链作为跳板,最终引导用户至伪造的企业单点登录(SSO)或Microsoft 365...Zipline的独特之处在于其闭环运营模型:攻击载荷按行业(制造、医疗、法律服务)动态适配术语与品牌元素;访问控制引入一次性令牌与地理围栏,阻止安全沙箱复现;凭证提交后立即通过自动化脚本验证有效性,失败则触发人工电话跟进...3 现有防御机制失效原因3.1 域名信誉机制被合法服务绕过OneDrive、SharePoint、Dropbox等域名长期位于企业白名单,邮件安全网关(如Mimecast、Proofpoint)默认放行其链接...4 企业级纵深防御体系设计4.1 条件访问与无密码认证根本性降低凭证价值:在Azure AD中强制实施条件访问策略(Conditional Access Policy):要求所有登录来自合规设备;高风险登录...全面推广FIDO2安全密钥或Passkey:凭据绑定RP ID(如login.microsoftonline.com),钓鱼站点无法获取有效断言;即使用户误输入,攻击者也无法重放。

    23710

    威胁行为者利用企业滥用微软Office 365某功能,对企业发起勒索攻击

    安全研究人员警告称,威胁行为者可能会劫持Office 365账户,对存储在SharePoint和OneDrive服务中的文件进行加密,以获得赎金,很多企业正在使用SharePoint和OneDrive服务进行云协作...、文档管理和存储,如果数据没有备份,那针对这些文件的勒索软件攻击可能会产生严重后果,导致所有者和工作组无法访问重要数据。...威胁行为者要加密SharePoint和OneDrive文件的前提条件是破坏Office 365 帐户,这很容易通过网络钓鱼或恶意OAuth应用程序完成。...微软说,如发生类似上述攻击场景的意外数据丢失情况下,微软的support agent可以在事故发生14天后帮助恢复数据。...对于可能成为这些云攻击目标的企业,最佳安全实践包括: 使用多因素身份验证 保持定期备份 寻找恶意OAuth应用程序并撤销令牌,以及在事件响应列表中添加“立即增加可恢复版本”。

    1.4K10

    基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

    一旦C级高管账户被攻破,攻击者可迅速获取董事会纪要、并购谈判材料、财务预测模型等高价值战略资产,并进一步部署持久化访问机制(如恶意OAuth应用),甚至发起商业电子邮件欺诈(BEC)以操控资金流向或对外合作决策...关键创新在于邮件中嵌入的“OneDrive共享通知”并非直接跳转至微软官方域名,而是指向攻击者控制的仿冒域名(如hr-fildoc.com、letzdoc.com)。...在邮件HTML中,按钮标签(如“Open Document”)被包裹在带有padding样式的元素内。...搜索并下载敏感文档:利用Graph API遍历OneDrive与SharePoint中的文件夹,下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...此后,即使原始凭证被重置,攻击者仍可通过OAuth令牌维持API级访问,实现长期潜伏。

    23010

    什么是REST API

    认证令牌或cookies等信息可以包含在HTTP请求头中。 「Body对象」。数据通常在HTTP主体中传输,该方式与HTML提交或者发送单独的JSON编码的数据字符串等方式相同。...REST API认证 上面显示的测试API是开放的:任何系统都可以在未经授权的情况下获取数据。这对于访问私有数据或允许更新和删除请求的API是不可行的。...数字签名的认证令牌在请求和响应头中安全地传输。JWT允许服务器对访问权限进行编码,因此不需要调用数据库或其他授权系统。...避免在客户端JavaScript中暴露API令牌。 阻止来自未知域名或IP地址的访问。 阻止意外的大型有效负载。 考虑速率限制,也就是使用同一API令牌或IP地址的请求被限制在每分钟N个以内。...最多组成10个/author/{id}请求以获取每个作者的详细信息。 这被称为「N+1问题」;必须为父请求中的每个结果提出N个API请求。

    6K20

    真假难辨的“微软登录页”:IDN同形攻击+零宽字符,钓鱼者正用视觉魔术绕过MFA防线

    更危险的是,这类攻击已能绕过多因素认证(MFA),直接窃取会话令牌,实现“凭证+身份”双重劫持。这不是科幻电影中的桥段,而是正在发生的现实威胁。...发件人地址经过精心伪装——有时是伪造的内部邮箱(如 mailto:finance@yourcompany.com),有时则干脆使用合法但被接管的第三方域名。...工作流程如下:用户访问伪造登录页(如 login.mіcrosoftonline.com)钓鱼服务器向真实 login.microsoftonline.com 发起请求,获取登录表单用户输入邮箱和密码,...Cookie(如 .AspNet.Cookies、x-ms-gateway-sso)攻击者窃取该Cookie,无需密码即可长期访问用户账户整个过程用户感知不到异常,而攻击者获得的是完整的会话令牌,可直接登录...美国汽车零部件制造商AutoForge数据泄露(2025年12月)钓鱼邮件伪装成SharePoint协作邀请,使用含零宽字符的URL:https://login.micros‌oftonline.com

    18110

    AI聊天机器人授权开发指南:元数据过滤与行级安全实战

    应用元数据过滤进行授权:代码示例现在,让我们探讨如何在实际AI聊天机器人用例中在Pinecone中实现元数据过滤。此示例演示如何插入带有元数据的向量,然后使用元数据过滤器查询索引以确保授权访问。...在依赖关系数据库的企业系统(如金融平台)中,访问通常需要强制执行到单个交易记录或客户数据行。...使用Descope为Supabase添加SSO为检索增强生成(RAG)实施RLS在检索增强生成(RAG)系统中,如Pinecone中的向量相似性搜索,文档被分解为更小的部分以进行更精确的搜索和检索。...Microsoft生态系统的一致性:治理和授权策略在所有Microsoft服务中保持一致,提供跨工具(如SharePoint、Power BI和Exchange Online)的无缝保护。...使用像Descope这样的OIDC兼容身份验证提供商简化了与第三方服务的集成,同时通过基于JWT的令牌管理用户、角色和访问控制。这确保令牌可以实施上述的精细授权策略。

    34510

    CVE-2025-53770漏洞在4天内攻陷60多台SharePoint服务器——微软无法忽视的零日漏洞

    60+ SharePoint Servers Compromised by CVE-2025–53770 in 4 Days — The Zero-Day Microsoft Can't Ignore在...攻击者使用了一个名为spinstall0.aspx的隐蔽ASP.NET有效载荷开始侦察。乍一看,该脚本似乎无害。...但实际上,它是为提取服务器的MachineKey而构建的,这是SharePoint中用于保护身份验证和会话数据的核心加密组件。...掌握了这个密钥,攻击者就可以伪造会话令牌、绕过身份验证,并想维持多久的访问权限就维持多久。仅仅10天后,威胁迅速升级。...全球影响:从单点探测到大规模利用在7月18日至21日期间,Microsoft Defender XDR遥测数据显示,60台独特的SharePoint服务器已遭此漏洞利用攻陷。

    11010

    针对Office 365的同形异义字欺骗与AiTM攻击研究

    IDN允许使用非ASCII字符(如西里尔字母、希腊字母、汉字等)注册域名,旨在促进互联网的多语言普及。...其工作流程如下:诱饵投递:攻击者发送伪造的OneDrive共享通知或SharePoint协作邀请邮件,链接指向伪造域名(如https://sharepoint-secure-access.com)。...实施逻辑:设备合规性检查:配置CA策略,要求所有访问Exchange Online、SharePoint等应用的用户必须使用标记为“合规”的设备。...效果:即使攻击者窃取了Cookie,由于其使用的攻击机器不在受信任设备列表中,CA策略将直接阻断请求,或者强制要求进行更严格的二次验证(如设备证书校验),从而使窃取的Cookie失效。...持续访问评估:启用Continuous Access Evaluation (CAE),当检测到用户风险等级升高(如异地登录、不可能旅行)或密码变更时,实时撤销会话令牌。

    6710
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券