如何在sharepoint中使用Rest-api获取访问令牌？ - 腾讯云开发者社区

文章/答案/技术大牛

发布

Windows 商店应用中使用 SharePoint REST API

而针对远程 Web 或移动应用，必须先获得访问权限，才能使用 SharePoint 数据资源。 ...这两种是最常用的 API ，还有几种 API 能实现一些特定的功能，如：使用搜索服务：https://server/site/_api/search，访问用户配置文件：http://server/site...而文档内容的上传过程是：文件读取为 Stream，放入 POST 内容中。文件还有其他很多中操作方式，如更新，签出，签入，删除等。 ...（2）$filter 参数如 SQL 中 Where 的使用方法，这里的 $filter 是用来筛选数据的筛选条件，使用方法是：_api/web/lists/getByTitle('Books...将获得的 OAuth 访问令牌加入到请求标头中。这里我们不做详细介绍了。关于 API本身的使用过程，和其他 API 没什么差异，这里就不做详细介绍了。

6.7K15 0

开源网盘空间本地挂载神器，挂载百度、ali云盘、OneDrive等云盘到本地工具-AList

：http://服务器公网IP:5244 (如部署在云服务器上可直接互联网访问)，如果是家庭宽带无公网 IP 的，那么需要额外配置「内网穿透」才可以实现。.../alist admin set NEW_PASSWORDnginx反向代理宝塔中添加域名域名访问添加ali盘1.后台 ---> 存储 --->添加选择ali盘OPEN手机登录app，扫码，同意，点击...I have scan，获取刷新令牌填写到后台。...添加百度网盘1.添加驱动alist后台--->存储--->添加2.选择百度网盘，填入信息挂载路径： /百度网盘（可以随便写）刷新令牌，可以通过以下地址获取回到主页即看到配置WebDAV首先下载 raidrive...账号：admin密码：随机生成的密码连接公网配置地址： https：alist.xgss.net 端口: 443目录： /dav账号：admin密码：随机生成的密码点击连接最后可以当做电脑的一块硬盘使用

2.3K0 0

您找到你想要的搜索结果了吗？

是的

没有找到

基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

这种高频、合法的使用模式使得攻击者可轻易将恶意链接嵌入伪造的业务邮件中，例如：“您有一份待审阅的Q3财报，请点击此处查看”。...攻击者一旦获取低权限账户（如通过撞库或泄露凭证），即可创建看似合法的共享项，并设置短时效访问控制，进一步规避基于长期URL监控的威胁情报系统。...部分高级变种甚至支持OAuth授权码拦截，直接获取用户会话令牌，实现无密码持久化访问。四、检测模型构建针对上述攻击链，需建立多维度检测机制。...4.1 网络层异常检测尽管SharePoint域名合法，但钓鱼页面通常托管于非标准路径（如/Shared Documents/phish/），且访问频率异常。...五、防御体系构建5.1 权限最小化原则禁用非必要用户的“外部共享”权限对文档库设置“仅组织内成员可访问”审计并清理长期有效的匿名共享链接5.2 条件访问策略强化在Azure AD中配置策略：禁止从非托管设备访问

1911 0

SharePoint 高危零日漏洞 (CVE‑2025‑53770) 遭利用，实现无需认证的远程代码执行

背景回顾我之前分析了 CVE‑2025‑49706 —— SharePoint中的一个欺骗漏洞，允许令牌操作、Web Shell上传以及在获得认证立足点后的横向移动。...，这是CVE‑2025‑49706的一个变种，涉及对特制的身份验证令牌处理不当——结合恶意的__VIEWSTATE有效载荷——导致直接在IIS工作进程中执行代码。...门户任何未在2025年7月打补丁且暴露在互联网上的SharePoint实例攻击流程恶意请求发送到易受攻击的端点注入的__VIEWSTATE有效载荷或伪造的令牌绕过验证代码在IIS中以NT AUTHORITY...\SYSTEM权限执行Web Shell被上传，建立远程访问启动C2通信，开始横向移动️ 缓解与修补✅ 立即打补丁微软已于2025年7月20-21日发布了带外安全更新：SharePoint 2019 ➝...KB5002741SharePoint SE ➝ KB5002755SharePoint 2016 补丁待定——请尽快隔离服务器✅ 系统加固打补丁前，禁用对SharePoint的外部访问Set-MpPreference

1221 0

基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

、SharePoint等核心服务的无缝访问。...尤其在Microsoft 365生态中，一旦攻击者获得有效会话Cookie或OAuth 2.0访问令牌，即可直接调用Graph API访问邮件、日历、文件甚至执行管理员操作，而无需再次触发MFA。...3.2 缺乏客户端上下文绑定标准OAuth 2.0或SAML流程中，颁发的令牌未与特定设备、浏览器或网络环境绑定。攻击者可在任意设备上重放令牌，只要未过期即可访问资源。...当检测到高风险事件（如密码重置、设备丢失报告），CAE可在数秒内使相关访问令牌失效，大幅缩短攻击窗口。管理员需在Azure AD中启用CAE并确保应用支持增量权限撤销。...（如Exchange Online、SharePoint Admin）要求FIDO2安全密钥。

1601 0

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

据CyberPress披露，攻击者通过已被攻陷的Microsoft 365账户创建真实的OneDrive或SharePoint文件共享链接，并在邮件中嵌入“文档已安全加密，请登录查看”等诱导性文案，大幅提升用户点击意愿...此类链接初期指向微软官方域名（如1drv.ms、sharepoint.com），通过SPF/DKIM验证，有效绕过传统邮件安全网关的外部域名过滤策略；随后，页面内嵌按钮或评论区中的二次跳转链接将用户导向仿冒登录门户...关键词：OneDrive钓鱼；云跳板攻击；中间人代理；条件访问；CASB；会话连续性；无密码认证1 引言在企业全面拥抱云协作的时代，Microsoft 365生态中的OneDrive与SharePoint...4 防御体系构建4.1 启用基于上下文的条件访问策略Azure AD条件访问可限制高风险会话的令牌颁发。...即使用户被诱导至仿冒页面，浏览器不会提示签名，攻击者无法获取有效凭证。更重要的是，无密码认证不产生可被代理复用的会话Cookie，从根本上消除AiTM的攻击面。

2201 0

为SharePoint 2013配置Office Web Apps

Office Web Apps，相信大家都不陌生，那么如何让SharePoint文档库中的Office文档使用Office Web Apps打开呢？如文档预览： ? 在线查看： ? 在线编辑： ?...您可以在规划 Office Web Apps（与 SharePoint 2013 一起使用）中查找有关如何获取允许用户使用 Office Web Apps Server 编辑文件的许可证的其他信息。...若要了解如何在 SharePoint Server 2013 中使用这些许可证，请参阅在 SharePoint Server 2013 中配置许可。 ?...若要验证是否正确安装并配置了 Office Web Apps Server，请使用 Web 浏览器访问 Office Web Apps Server 发现 URL，如下面的示例所示。...7.设置SharePoint绑定的WOPI区域 Office Web Apps Server 使用区域的概念来确定其与主机（此示例中为 SharePoint 2013）进行通信时将使用的 URL（内部或外部

3.5K4 0

“Zipline”鱼叉式钓鱼行动的技术机制与企业防御体系研究

该攻击以物流通知、发票更新等高可信业务场景为诱饵，利用合法云存储服务（如OneDrive、SharePoint）和动态短链作为跳板，最终引导用户至伪造的企业单点登录（SSO）或Microsoft 365...Zipline的独特之处在于其闭环运营模型：攻击载荷按行业（制造、医疗、法律服务）动态适配术语与品牌元素；访问控制引入一次性令牌与地理围栏，阻止安全沙箱复现；凭证提交后立即通过自动化脚本验证有效性，失败则触发人工电话跟进...3 现有防御机制失效原因3.1 域名信誉机制被合法服务绕过OneDrive、SharePoint、Dropbox等域名长期位于企业白名单，邮件安全网关（如Mimecast、Proofpoint）默认放行其链接...4 企业级纵深防御体系设计4.1 条件访问与无密码认证根本性降低凭证价值：在Azure AD中强制实施条件访问策略（Conditional Access Policy）：要求所有登录来自合规设备；高风险登录...全面推广FIDO2安全密钥或Passkey：凭据绑定RP ID（如login.microsoftonline.com），钓鱼站点无法获取有效断言；即使用户误输入，攻击者也无法重放。

1921 0

威胁行为者利用企业滥用微软Office 365某功能，对企业发起勒索攻击

安全研究人员警告称，威胁行为者可能会劫持Office 365账户，对存储在SharePoint和OneDrive服务中的文件进行加密，以获得赎金，很多企业正在使用SharePoint和OneDrive服务进行云协作...、文档管理和存储，如果数据没有备份，那针对这些文件的勒索软件攻击可能会产生严重后果，导致所有者和工作组无法访问重要数据。...威胁行为者要加密SharePoint和OneDrive文件的前提条件是破坏Office 365 帐户，这很容易通过网络钓鱼或恶意OAuth应用程序完成。...微软说，如发生类似上述攻击场景的意外数据丢失情况下，微软的support agent可以在事故发生14天后帮助恢复数据。...对于可能成为这些云攻击目标的企业，最佳安全实践包括：使用多因素身份验证保持定期备份寻找恶意OAuth应用程序并撤销令牌，以及在事件响应列表中添加“立即增加可恢复版本”。

1.4K1 0

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

一旦C级高管账户被攻破，攻击者可迅速获取董事会纪要、并购谈判材料、财务预测模型等高价值战略资产，并进一步部署持久化访问机制（如恶意OAuth应用），甚至发起商业电子邮件欺诈（BEC）以操控资金流向或对外合作决策...关键创新在于邮件中嵌入的“OneDrive共享通知”并非直接跳转至微软官方域名，而是指向攻击者控制的仿冒域名（如hr-fildoc.com、letzdoc.com）。...在邮件HTML中，按钮标签（如“Open Document”）被包裹在带有padding样式的元素内。...搜索并下载敏感文档：利用Graph API遍历OneDrive与SharePoint中的文件夹，下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...此后，即使原始凭证被重置，攻击者仍可通过OAuth令牌维持API级访问，实现长期潜伏。

1821 0

什么是REST API

认证令牌或cookies等信息可以包含在HTTP请求头中。「Body对象」。数据通常在HTTP主体中传输，该方式与HTML提交或者发送单独的JSON编码的数据字符串等方式相同。...REST API认证上面显示的测试API是开放的：任何系统都可以在未经授权的情况下获取数据。这对于访问私有数据或允许更新和删除请求的API是不可行的。...数字签名的认证令牌在请求和响应头中安全地传输。JWT允许服务器对访问权限进行编码，因此不需要调用数据库或其他授权系统。...避免在客户端JavaScript中暴露API令牌。阻止来自未知域名或IP地址的访问。阻止意外的大型有效负载。考虑速率限制，也就是使用同一API令牌或IP地址的请求被限制在每分钟N个以内。...最多组成10个/author/{id}请求以获取每个作者的详细信息。这被称为「N+1问题」；必须为父请求中的每个结果提出N个API请求。

5.9K2 0

AI聊天机器人授权开发指南：元数据过滤与行级安全实战

应用元数据过滤进行授权：代码示例现在，让我们探讨如何在实际AI聊天机器人用例中在Pinecone中实现元数据过滤。此示例演示如何插入带有元数据的向量，然后使用元数据过滤器查询索引以确保授权访问。...在依赖关系数据库的企业系统（如金融平台）中，访问通常需要强制执行到单个交易记录或客户数据行。...使用Descope为Supabase添加SSO为检索增强生成（RAG）实施RLS在检索增强生成（RAG）系统中，如Pinecone中的向量相似性搜索，文档被分解为更小的部分以进行更精确的搜索和检索。...Microsoft生态系统的一致性：治理和授权策略在所有Microsoft服务中保持一致，提供跨工具（如SharePoint、Power BI和Exchange Online）的无缝保护。...使用像Descope这样的OIDC兼容身份验证提供商简化了与第三方服务的集成，同时通过基于JWT的令牌管理用户、角色和访问控制。这确保令牌可以实施上述的精细授权策略。

2731 0

CVE-2025-53770漏洞在4天内攻陷60多台SharePoint服务器——微软无法忽视的零日漏洞

60+ SharePoint Servers Compromised by CVE-2025–53770 in 4 Days — The Zero-Day Microsoft Can't Ignore在...攻击者使用了一个名为spinstall0.aspx的隐蔽ASP.NET有效载荷开始侦察。乍一看，该脚本似乎无害。...但实际上，它是为提取服务器的MachineKey而构建的，这是SharePoint中用于保护身份验证和会话数据的核心加密组件。...掌握了这个密钥，攻击者就可以伪造会话令牌、绕过身份验证，并想维持多久的访问权限就维持多久。仅仅10天后，威胁迅速升级。...全球影响：从单点探测到大规模利用在7月18日至21日期间，Microsoft Defender XDR遥测数据显示，60台独特的SharePoint服务器已遭此漏洞利用攻陷。

781 0

SharePoint 2013 创建 Site Collection

在之前的文章中，通过SharePoint Central Administration 创建了Web Application。...在这篇文章中将继续SharePoint 2013之旅——还是以Step By Step的形式演示如何在SharePoint 2013中创建Site Collection（网站集），首先梳理下知识点。...如果不想迁移Site Collection，那么可以使用Export-SPWeb和Import-SPWeb来将Site Collection的内容到分散到其他Site Collection中。...最后，进入备用访问映射，检查下新建好的http://intranet.skyrim.com 是否存在 Default Zone中。 ? DNS 配置等等，到此为止结束了吗。...到此，在SharePoint Server中创建Site Collection已经成功，可以用浏览器浏览即可。

3.3K6 0

SharePoint 2013 创建Web Application

在这篇文章中，我将继续Step By Step形式演示如何在SharePoint 2013中创建Web Application。...在IIS Web Site配置选项中，选择创建新的网站，并填入IIS Web Site Name，Port(可以允许多个IIS 网站使用同台服务器上80端口，只需在DNS中加入A记录并指向SharePoint...在Security Configuration配置中，使用默认即可，即不允许匿名登录，不使用SSL，并使用默认的Windows Authentication。...当然你也可以选择使用FBA，具体配置在我之前的文章中提及，详情参考《SharePoint 2013自定义Providers在基于表单的身份验证（Forms-Based-Authentication）中的应用...通过Proxy，Web Application才能访问和使用Service Application。 ?

2.3K8 0

如何在服务器中Ping特定的端口号，如telnet Ping,nc Ping,nmap Ping等工具的详细使用教程（Windows、Linux、Mac）

猫头虎分享：如何在服务器中Ping特定的端口号？网络调试的实用技巧，学会这些工具，你将成为运维与开发中的“Ping”王！...在日常开发和运维中，我们经常需要检查目标主机上的某个端口是否开启，并确定网络连通性。...使用 Telnet Ping 端口 Telnet 是检查端口连通性的经典工具，虽然简单，但功能强大。...使用 nmap Ping 端口 Nmap 是一款专业的网络扫描工具，适合批量测试。...默认扫描速率较低，可使用 -T4 或 -T5 提高速度，但可能会被目标主机识别为攻击行为。----

26.8K2 0

搭建 Microsoft SharePoint 2016

操作场景本文档介绍如何在云服务器实例上搭建 Microsoft SharePoint 2016。...示例软件版本本文在示例步骤中使用的云服务器实例硬件规格如下：vCPU：4核内存： 8GB本文在示例步骤中使用如下软件版本：操作系统：Windows Server 2012 R2 数据中心版 64位中文版数据库...步骤5：安装数据库 SQL Server 20141.在云服务器中打开浏览器，并访问 SQL Server 2014 官网下载 SQL Server 2014 安装包。...说明：您也可以通过第三方网站或其他合法渠道获取 SQL Server 2014 安装包。...步骤6：安装 SharePoint 20161.在云服务器中打开浏览器，并访问 Microsoft SharePoint 2016 官网下载 Microsoft SharePoint 2016 安装包。

3.4K7 1

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

Sign、DocuSign或SharePoint协作工具，向目标用户发送“文档待签署”或“需重新授权访问”通知。...一旦同意，攻击者即获得授权码，兑换为访问令牌（access token）与长期有效的刷新令牌，从而无需再次触发MFA即可持续访问用户邮箱与文件。...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中，第三方应用若需访问用户资源（如邮件、日历），必须通过OAuth 2.0授权码流程获取权限。...；应用使用令牌调用Microsoft Graph API。...4.2 条件访问：基于权限范围的策略拦截创建条件访问策略，阻止包含高危权限的应用获取令牌：策略逻辑：触发条件：应用请求包含Mail.ReadWrite、User.ReadWrite.All等；操作：阻止登录

2211 0

“Zipline”新型钓鱼行动曝光：伪装快递通知，专盯企业邮箱

链接指向的，是一个你再熟悉不过的页面——微软OneDrive或SharePoint共享文件夹。这正是“Zipline”行动的典型路径。...而这些链接并非直接指向钓鱼网站，而是跳转至合法的云存储平台，如OneDrive、SharePoint或Dropbox。“这种设计非常狡猾。”...例如，使用一次性访问令牌、仅对特定IP或地理区域开放、过滤非主流浏览器的用户代理（User-Agent）等。“这意味着，安全沙箱环境很难模拟真实用户行为，导致攻击在测试中‘隐身’。”芦笛解释。...即使用户误入钓鱼页面，攻击者也无法获取有效凭证。实施条件访问策略（Conditional Access）在Microsoft 365等平台中启用基于风险的登录控制。...对云分享链接进行“URL展开”与沙箱检测企业安全网关应对邮件中的云存储链接自动“展开”，提取最终跳转目标，并在行为沙箱中模拟用户点击，检测是否存在伪造登录页。

1401 0

SharePoint 2013自定义Providers在基于表单的身份验证（Forms-Based-Authentication）中的应用

由于项目的需要，登录SharePoint Application的用户将从一个统一平台中获取，而不是从Domain中获取，所以需要对SharePoint Application的身份验证（Claims...故本篇博客将着重笔墨去介绍SharePoint 2013自定义Providers在基于表单的身份验（Forms-Based-Authentication）中的应用。...如截图所示那样，启用了FBA之后，需要我们提供自定义的Menbership Provider和Role Provider。...修改Web Config Web Config需要Assembly的Public Key Token，可以使用VS Command Tool来获取： ?...如添加访问用户，可以如下图操作所示： ? 搜索用户，如下图所示： ? 访问Site，提示混合登录模式，如下图所示： ? 登录成功后显示信息： ?

2.8K9 0

点击加载更多

Windows 商店应用中使用 SharePoint REST API

开源网盘空间本地挂载神器，挂载百度、ali云盘、OneDrive等云盘到本地工具-AList

基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

SharePoint 高危零日漏洞 (CVE‑2025‑53770) 遭利用，实现无需认证的远程代码执行

基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

为SharePoint 2013配置Office Web Apps

“Zipline”鱼叉式钓鱼行动的技术机制与企业防御体系研究

威胁行为者利用企业滥用微软Office 365某功能，对企业发起勒索攻击

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

什么是REST API

AI聊天机器人授权开发指南：元数据过滤与行级安全实战

CVE-2025-53770漏洞在4天内攻陷60多台SharePoint服务器——微软无法忽视的零日漏洞

SharePoint 2013 创建 Site Collection

SharePoint 2013 创建Web Application

如何在服务器中Ping特定的端口号，如telnet Ping,nc Ping,nmap Ping等工具的详细使用教程（Windows、Linux、Mac）

搭建 Microsoft SharePoint 2016

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

“Zipline”新型钓鱼行动曝光：伪装快递通知，专盯企业邮箱

SharePoint 2013自定义Providers在基于表单的身份验证（Forms-Based-Authentication）中的应用

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐