文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...四、企业授权管理现状与漏洞尽管主流云平台提供应用授权管理界面(如Microsoft Entra ID中的“应用权限”面板),但多数企业在实践中存在以下问题:第一,授权可见性不足。...第二,权限粒度粗放。 许多遗留OAuth应用仍使用宽泛的权限范围(如Mail.ReadWrite而非Mail.ReadBasic),且未启用增量授权(incremental consent)。...(二)策略管理层:建立授权生命周期管理定期授权审计:每季度导出全组织应用授权清单,清理未使用或来源不明的应用;实施最小权限原则:推动业务部门使用权限更细的现代API(如Microsoft Graph的delegated...permissions with scopes);自动化撤销机制:当检测到可疑活动时,自动调用Microsoft Graph API撤销相关应用授权:# 使用Microsoft Graph API撤销用户授权

19010
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...关键词:OAuth 同意滥用;假冒微软应用;Entra ID;多因素认证绕过;Graph API;条件访问1 引言多因素认证(MFA)作为现代身份安全的核心防线,已在绝大多数企业环境中广泛部署。...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...://graph.microsoft.com/v1.0/me/messages?...可通过Microsoft Graph API动态评估权限风险:HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All

    23910

    CyberDrain推免费工具帮中小企业守住Microsoft 365大门

    一旦用户点击“同意”,攻击者就获得了对该账户的长期访问权限,甚至能绕过MFA。...技术内核:Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效,得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...不过,工具也有门槛:部署者需具备一定的PowerShell或Python脚本能力,并为服务账号配置适当的Graph API权限(如AuditLog.Read.All、Directory.Read.All...专家提醒:工具不是万能,策略才是根基尽管M365PhishDefender广受社区好评,芦笛仍强调:“开源工具是利器,但不能替代基础安全策略。”

    16310

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    关键词:OAuth 2.0;MFA绕过;Microsoft Entra ID;钓鱼攻击;身份安全;API权限;条件访问;第三方应用治理1 引言随着云办公的普及,Microsoft 365已成为全球企业数字基础设施的核心组成部分...、redirect_uri、scope等参数;用户输入凭证并完成MFA;显示OAuth同意页面:列出所请求的权限(如“读取你的邮件”);用户点击“同意”:Microsoft颁发授权码;第三方应用用授权码换取访问令牌...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...注册后,攻击者配置所需API权限。...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

    25010

    “量子重定向”钓鱼风暴席卷全球:企业云邮箱成新猎场,MFA也挡不住的自动化攻击

    (如navigator.webdriver === undefined)若判定为扫描器或沙箱,系统会立即重定向至真实官网(如 https://login.microsoftonline.com),返回干净内容...此外,攻击者还利用OAuth授权钓鱼(Consent Phishing)手段,诱导用户授予恶意应用“读取邮件”、“发送邮件”等权限。一旦同意,即使未泄露密码,攻击者也能通过合法API访问邮箱内容。...更值得警惕的是,部分企业仍存在严重安全盲区:未强制启用FIDO2或Microsoft Authenticator等无钓鱼MFA;允许IMAP/POP3等旧式协议长期开启;外部文档共享权限过于宽松(如Anyone...# 通过Microsoft Graph API批量检查用户MFA方法GET https://graph.microsoft.com/beta/users?...$select=id,displayName,authentication/methods同时,在Azure AD条件访问策略中,强制高权限账户仅允许使用FIDO2或Microsoft Authenticator

    11510

    “量子重定向”钓鱼工具席卷全球:一场针对Microsoft 365的自动化攻防战正在打响

    404或空白页return abort(404)这种“双面策略”使得URL扫描器无法捕获真实钓鱼内容,极大延长了恶意链接的存活时间。...尽管该国强制使用MFA,但因未启用FIDO2安全密钥,攻击者仍通过会话Cookie实现了账户持久化访问。“这些案例共同暴露了一个致命弱点:过度依赖密码+短信验证码的MFA组合。”...尽管目前尚无公开的中国大规模受害报告,但风险不容忽视。首先,Microsoft 365在中国企业市场占有率持续攀升。...# 通过Microsoft Graph API检查用户是否启用FIDO2GET https://graph.microsoft.com/v1.0/me/authentication/methods# 返回结果中若包含..."fido2AuthenticationMethod",则表示已启用企业应通过条件访问策略(Conditional Access)强制高权限账户使用FIDO2或Microsoft Authenticator

    13210

    OpenAI“后门”失守:一次钓鱼攻击如何撬动AI巨头的第三方供应链防线

    尽管OpenAI强调“核心模型、用户聊天记录、API密钥、支付信息均未受损”,但这一事件仍如一枚深水炸弹,在全球AI安全圈激起巨大涟漪。...更狡猾的是,部分钓鱼页面还会在后台静默发起OAuth授权请求,诱导用户“授权OpenAI访问您的日历”——一旦同意,攻击者便获得持久化的API令牌,无需密码即可持续访问企业资源。...若有效,立即申请OAuth token(模拟“授权应用”)requestOAuthToken(username, 'https://graph.microsoft.com/.default').then...尽管Okta自身系统未被攻破,但攻击者利用承包商权限重置了客户管理员密码。...例如,所有重要通知仅通过API控制台内的消息中心推送,或通过已绑定的硬件安全密钥签名的消息。此外,定期轮换API密钥虽非OpenAI强制要求,但从安全最佳实践出发,仍值得推荐。

    18210

    office365 E5调用api使E5开发者续订 修复版AutoApi (不使用服务器)

    microsoft graph的api,一次调用10个api,5个onedrive的api还有4个outlook的api,剩下一个是组的api,调用一次后延时等待五分钟再重复调用。...记录ID 下面会用到 点击左边管理的证书和密码,点击+新客户端密码,点击添加,复制新客户端密码的值 记录这个值 下面会用到 点击左边管理的API权限,点击+添加权限,点击常用Microsoft API...里的Microsoft Graph(就是那个蓝色水晶), 点击委托的权限,然后在下面的条例搜索以下12个 最后点击底部添加权限 Calendars.ReadWrite 、 Contacts.ReadWrite...MailboxSettings.ReadWrite 、 Mail.ReadWrite Mail.Send 、 Notes.ReadWrite.All 、 People.Read.All...Sites.ReadWrite.All 、 Tasks.ReadWrite 、 User.ReadWrite.All 添加完自动跳回到权限首页,点击代表授予管理员同意 现在

    8.1K11

    俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱,安全界拉响新型OAuth攻击警报

    /devicelogin,手动输入验证码;同时,设备后台持续轮询服务器,等待用户完成授权;用户在网页端登录并同意授权后,服务器向设备返回Access Token;设备凭此Token访问API资源。...# 攻击者侧:使用Microsoft Graph API发起设备代码请求(简化示例)import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后,攻击者即可调用Microsoft Graph API,读取邮件、日历、OneDrive文件、Teams消息,甚至发送新邮件冒充受害者——全程无需知道密码...许多企业安全负责人困惑:我们部署了EDR、邮件网关、MFA,为何仍被突破?答案在于:设备代码钓鱼攻击发生在身份验证之后,且完全走合法API通道。...例如,若某账户在短时间内从不同国家调用Graph API,即使Token合法,也应触发二次验证。(4)员工意识培训需升级传统“别点可疑链接”已不够。

    16610

    基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

    搜索并下载敏感文档:利用Graph API遍历OneDrive与SharePoint中的文件夹,下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...三、现有防御体系的局限性尽管多数企业已部署高级邮件安全网关(如Mimecast、Proofpoint)、端点检测与响应(EDR)系统及多因素认证,但在应对上述攻击时仍存在明显短板。...RBI在云端沙箱中渲染页面,仅将像素流返回终端,确保恶意脚本无法接触本地凭证存储。...以下Python脚本利用Microsoft Graph API实现授权审计:import requestsdef audit_oauth_apps(user_token):headers = {"Authorization...": f"Bearer {user_token}"}url = "https://graph.microsoft.com/v1.0/me/oauth2PermissionGrants"response

    22910

    星巴克新漏洞:可访问1亿客户记录

    当sam在星巴克官网上试图购买时,他发现了API调用的可疑之处:在以“ / bff / proxy /”为前缀的API下发送了一些请求,但这些请求返回的数据似乎来自另一台主机。...以下是返回sam的用户信息的其中之一的API调用示例: POST /bff/proxy/orchestra/get-user HTTP/1.1Host: app.starbucks.com{ "data...它们都返回了我通常会看到的相同的404页面…… 在这种情况下,我们可以将“ / bff / proxy / orchestra / get-user”视为我们正在调用的未包含用户输入的函数。...“ / search / v1 / accounts”可以访问所有星巴克帐户的Microsoft Graph实例。...随后,sam开始进一步探索该服务,以使用Microsoft Graph功能进行确认。

    1.3K20

    凭证窃取主导下的现代网络攻击链演化与防御体系构建

    尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中,一旦主账户凭证失窃,攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄,而平均检测延迟仍超过...具体驱动因素包括:密码复用与弱口令惯性:尽管NIST SP 800-63B早已推荐使用长密码短语替代复杂字符组合,但大量用户仍在多个平台重复使用相同密码。...典型路径如下:钓鱼获取员工凭证(含MFA绕过,如MFA疲劳攻击);登录云控制台(如Azure AD、AWS IAM);枚举高权限账户或服务主体;申请或窃取OAuth令牌/会话Cookie;通过Graph...login.microsoftonline.com/{TENANT_ID}/oauth2/v2.0/token"data = {'client_id': CLIENT_ID,'scope': 'https://graph.microsoft.com...Graph API /users/{id}/revokeSignInSessions;发送Teams通知至用户及IT支持;创建Jira工单要求用户完成安全培训;更新IAM策略,强制启用FIDO2。

    24810

    还原Facebook数据泄漏事件始末,用户信息到底是如何被第三方获取的?

    先决条件 登录 Facebook 账户 在单独的窗口中打开 Graph API Explorer 概述 Graph API Explorer 是一款应用程序,能够让你探索 Facebook 的社交图谱。...中读取数据 首先是查询 当你打开 Graph API Explorer 时,它将自动加载最新版本的 Graph API 和默认的 GET 请求,如:GET / me?...请注意,由于上次的权限请求仍处于选中状态,因此 建议你在这处只选择你所需要的权限。 在这个例子中,你只需要 user_photos 的访问权限。 现在重新运行该请求,系统将会返回你的相册。...从Graph API Explorer中添加内容为Hello的消息字段! 系统的响应将返回 post_id 。 post_id 由你的用户 id ,后面加下划线和整数组成。 检查资源管理器中的更新。...在这个例子中,我们使用的是 Graph API Explorer 。 使用具有 user_posts 权限的用户访问令牌并创建获取请求,从而找到要删除的帖子。

    5.3K50

    PwnAuth——一个可以揭露OAuth滥用的利器

    API——资源 客户端希望访问的目标应用程序。在本例中,Microsoft OneDrive API 终端是资源。 资源拥有者 允许访问其部分帐户的人员。在本例中,就是你。...授权服务器 授权服务器提供资源所有者用来同意或拒绝的接口。服务器可以与API资源相同,或者是另一个不同的组件。在本例中,Microsoft登录门户是“授权服务器”。...大多数API资源将定义应用程序可以请求的一组范围。这与Android手机应用程序在安装时请求的权限类似。在本例中,应用程序可能会请求访问OneDrive文件和用户配置文件。...虽然任何允许OAuth应用程序的云环境都可以成为目标,但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序,捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API...· 管理员可以采取行动,如果他们认为恶意应用程序被授予访问帐户的权限。 · 统一审计日志记录用户何时同意第三方应用程序;但是,特定范围和应用程序信息未记录在日志中。

    2.5K20

    利用协作平台的钓鱼攻击:以Microsoft Teams与Slack为例的技术分析与防御机制研究

    in OneDriveSend messages as you”由于OAuth同意页面由Microsoft官方域名(login.microsoftonline.com)托管,用户误以为安全。...一旦授权,攻击者即可通过合法API调用访问资源,无需凭证。此类应用通常申请过度权限,如 Mail.Read, Files.Read.All, User.ReadWrite.All。...4 平台安全机制的局限性尽管Microsoft与Slack均提供安全功能,但在实际部署中存在明显短板:4.1 链接扫描延迟Teams内置的Safe Links功能虽可重写URL并进行实时扫描,但仅对首次点击生效...此时Safe Links缓存仍标记为安全。4.2 第三方应用审查缺失企业管理员往往未启用“仅允许批准应用”的策略。默认情况下,任何用户均可授权外部OAuth应用,且无自动权限审计机制。...例如,OAuth同意页面虽由官方托管,但未对应用权限进行风险评级提示;Teams消息未提供“来源验证”标识,使伪造身份成本极低。这要求组织不能完全依赖厂商默认配置,而需主动实施安全增强。

    26310
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券