必须使用活动访问令牌来查询有关当前用户 - Graph api异常的信息 - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...一旦同意，攻击者即获得授权码，兑换为访问令牌（access token）与长期有效的刷新令牌，从而无需再次触发MFA即可持续访问用户邮箱与文件。...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...用户难以判断风险。3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志，也因数据量庞大而忽略异常。...4.6 Graph API 异常行为监控部署KQL查询，检测异常API调用模式：// 检测单应用大量邮件读取AuditLogs| where OperationName == "Consent to application

2501 0

还原Facebook数据泄漏事件始末，用户信息到底是如何被第三方获取的？

这里有一份官方指南，本指南演示了从 Facebook 获取信息，并使用 Graph API 将信息发布到 Facebook 平台上的相关知识。...中读取数据首先是查询当你打开 Graph API Explorer 时，它将自动加载最新版本的 Graph API 和默认的 GET 请求，如：GET / me？...访问令牌的默认权限是允许用户访问公共配置的文件信息。按照你的方式继续并点击提交。资源管理器将在查询窗口的下方返回相应的用户响应。更多的用户数据在上面的例子中，你检索了与你有关的一些公共数据。...想要获取用户访问令牌，首先必须要登录你的 Facebook 账号，随后系统将审阅你所发送应用信息，并根据你的需要提供相应的访问权限。...如果系统响应成功的话，那么所返回的响应将是发布到页面的消息的 page_id 。点击访问令牌圆圈图标，来查看有关页面访问令牌的信息。

5.3K5 0

您找到你想要的搜索结果了吗？

是的

没有找到

VoidProxy平台对多因素认证的绕过机制与防御对策研究

在此过程中，攻击者不仅捕获用户名与密码，更重要的是截获认证成功后返回的会话Cookie、OAuth 2.0访问令牌及刷新令牌（Refresh Token），从而实现无需凭证重放的持久化账户访问。...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...攻击者利用这些令牌可直接通过API访问用户邮箱、OneDrive文件、Teams聊天记录等，完全绕过前端UI与MFA提示。...例如，若受害者通常使用Windows 11 + Chrome 124访问Office 365，攻击者将配置代理以相同特征发起API请求，使登录活动在审计日志中呈现为“正常行为”。...通过KQL查询实现监控：// KQL: 检测高价值用户异常会话SigninLogs| where UserPrincipalName in~ ("ceo@company.com", "admin@company.com

2541 0

PwnAuth——一个可以揭露OAuth滥用的利器

访问令牌可以在设定的时间段内使用，从API资源访问用户的数据，而无需资源所有者采取任何进一步的行动。...攻击者可能会创建恶意应用程序，并使用获取的访问令牌通过API资源获取受害者的帐户数据。访问令牌不需要知道用户的密码，并能绕过双因素认证。...虽然任何允许OAuth应用程序的云环境都可以成为目标，但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序，捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API...使用PwnAuth的第一步是创建一个Microsoft应用程序。这些信息必须输入到PwnAuth（图1）。 ?...例如，使用PwnAuth向受害者的邮箱查询包含字符串“password”的所有消息（图3）。 ? 图3：搜索受害者的邮箱有关使用的更多信息，请参阅GitHub wiki 。

2.5K2 0

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

敏感标签保护：利用Microsoft Purview信息保护（MIP）功能，对包含敏感信息的文档自动应用加密标签。即使文档被非法下载，未授权用户也无法打开查看内容。...令牌异常分析：检测User-Agent字符串的突变、IP地址与地理位置的不匹配、以及短时间内大量文件访问行为。...以下是一个基于Python的示例，演示如何利用Microsoft Graph API查询SharePoint共享活动，并基于启发式规则识别异常模式。...", "supplier-b.net", "client-c.org"}def get_access_token(self) -> str:"""获取Microsoft Graph API访问令牌"""...}/auditLogs/directoryAudits" # 简化示例，实际应使用unifiedAuditLogs# 注：Graph API中统一审计日志的端点可能需要特定权限和不同的查询方式# 此处仅为逻辑演示

1211 0

【微服务架构】微服务设计模式

数据模式数据一致性——每个服务使用一个单独的数据库以确保松散耦合。为了跨服务的数据一致性，必须使用 Saga 模式。查询——每个服务使用数据库的另一个问题是某些查询需要连接来自多个服务的数据。...不可能对服务的数据库执行分布式查询，因为它的数据只能通过其 API 访问。必须使用其中一种查询模式来检索分散在多个服务中的数据。 API 组合——对一项或多项服务进行 API 调用并汇总结果。...日志聚合——将服务活动日志写入可以执行搜索和警报的集中式日志服务器。异常跟踪——应将异常报告给异常跟踪服务，该服务对异常进行重复数据删除、警告开发人员并跟踪其解决方案。...安全模式用户通常由微服务架构中的 API 网关进行身份验证。然后必须将用户的身份和角色传递给它调用的服务。一个常见的解决方案是使用访问令牌模式。...API 网关将访问令牌（例如 JWT（JSON Web 令牌））传递给服务，服务可以验证令牌并获取有关用户的信息。

1.1K2 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

该流程允许用户在另一台具备浏览器的设备上完成授权，从而获取访问令牌。...一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...例如：阻止从非托管设备或异常地理位置发起的设备代码授权；要求所有OAuth令牌请求必须来自合规设备；对包含敏感权限（如Mail.ReadWrite）的令牌请求强制二次审批。...研究表明，仅靠用户意识无法抵御此类高度仿真的钓鱼手段，必须通过Azure AD的精细化权限管理与条件访问策略重构OAuth授权的信任边界。

2591 0

与我一起学习微服务架构设计模式11—开发面向生产环境的微服务应用

安全架构的关键部分是会话（存储主体的ID和角色）、安全上下文(存储有关发出当前请求的用户的信息) 缺点：使用内存中会话，必须把特定会话的所有请求路由到同一个应用程序实例。这使负载均衡和操作变得复杂。...使用JWT传递用户身份和角色两种令牌可供选择一种是不透明的令牌，无可读性，通常是一串UUID，缺点是降低性能和可用性，增加延迟。另一种是使用包含用户信息的透明令牌。其流行标准是JWT。...身份验证服务器返回访问令牌，API Gateway将其传递给服务。服务验证令牌的签名，并提取有关用户的信息，包括其身份和角色。...支持基于登陆的客户端：客户端通过其凭据发送到API Gateway来登录。API Gateway使用OAuth2.0身份验证服务器对其凭据进行身份验证，并将其访问令牌和刷新令牌作为cookie返回。...API Gateway和服务使用透明令牌来传递有关主体的信息。

2.6K1 0

如何在微服务架构中实现安全性？

实现安全性的另一个关键是安全上下文，它存储有关发出当前请求的用户的信息。...请求处理程序可以调用 SecurityContextHolder. getContext().getAuthentication() 获取有关当前用户的信息，例如他们的身份和角色。...它还必须验证请求是否已经过通过身份验证。解决方案是让 API Gateway 在每个服务请求中包含一个令牌。服务使用令牌验证请求，并获取有关主体的信息。...因为这种令牌的接收方必须对安全服务发起同步 RPC 调用，以验证令牌并检索用户信息。另一种消除对安全服务调用的方法是使用包含有关用户信息的透明令牌。...无论你使用哪种方法，三个关键思想如下： API Gateway 负责验证客户端的身份。 API Gateway 和服务使用透明令牌（如 JWT）来传递有关主体的信息。

6.1K4 0

微服务架构如何保证安全性？

实现安全性的另一个关键是安全上下文，它存储有关发出当前请求的用户的信息。...请求处理程序可以调用 SecurityContextHolder. getContext().getAuthentication() 获取有关当前用户的信息，例如他们的身份和角色。...使用 JWT 传递用户身份和角色在微服务架构中实现安全性时，你需要确定 API Gateway应使用哪种类型的令牌来将用户信息传递给服务。有两种类型的令牌可供选择。...因为这种令牌的接收方必须对安全服务发起同步 RPC 调用，以验证令牌并检索用户信息。另一种消除对安全服务调用的方法是使用包含有关用户信息的透明令牌。...无论你使用哪种方法，三个关键思想如下： 1、API Gateway 负责验证客户端的身份。 2、API Gateway 和服务使用透明令牌（如 JWT）来传递有关主体的信息。

6.6K4 0

如何在微服务架构中实现安全性？

FTGO 应用程序的会话令牌是一个名为JSESSIONID的HTTP cookie。实现安全性的另一个关键是安全上下文，它存储有关发出当前请求的用户的信息。...请求处理程序可以调用 SecurityContextHolder. getContext().getAuthentication() 获取有关当前用户的信息，例如他们的身份和角色。...使用 JWT 传递用户身份和角色在微服务架构中实现安全性时，你需要确定 API Gateway应使用哪种类型的令牌来将用户信息传递给服务。有两种类型的令牌可供选择。...因为这种令牌的接收方必须对安全服务发起同步 RPC 调用，以验证令牌并检索用户信息。另一种消除对安全服务调用的方法是使用包含有关用户信息的透明令牌。...无论你使用哪种方法，三个关键思想如下： ■ API Gateway 负责验证客户端的身份。 ■ API Gateway 和服务使用透明令牌（如 JWT）来传递有关主体的信息。

6.4K3 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

通过可执行代码示例，验证了OAuth授权监控与自动撤销机制的有效性。研究结论指出，仅依赖用户教育无法应对当前高度专业化、协议级的钓鱼威胁，必须从身份治理与协议使用规范层面重构企业安全边界。...用户被邀请“完善注册信息”或“提交演讲议题”，并提示“使用Google/Microsoft账号一键登录以简化流程”。...Smith，感谢您提交关于‘北约东翼安全态势’的演讲摘要。为完成最终注册，请使用您的机构邮箱通过以下链接确认参会信息。”...API支持查询用户授予的同意记录：GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization: Bearer...3.3 用户行为验证与安全缓冲区对于必须参与外部会议的员工，建议：使用专用邮箱（如events@company.com）进行注册，隔离主账户风险；手动访问会议官网（通过搜索引擎或官方社交媒体）而非点击邮件链接

2861 0

基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

摘要2025年第三季度，网络安全机构监测到多起针对Microsoft 365（M365）用户的高级钓鱼攻击活动。...研究表明，仅靠用户教育不足以应对此类情境化欺骗，必须通过架构级控制压缩攻击面。本研究为云办公环境下的身份安全防护提供了可落地的技术路径。...获得有效会话后，攻击者通过Graph API注册恶意OAuth应用：POST https://graph.microsoft.com/v1.0/applicationsContent-Type: application...），获得长期访问令牌。...4.4 统一日志与异常检测利用Microsoft 365统一审计日志，编写KQL查询检测可疑活动：AuditLogs| where Operation in ("Add service principal

2391 0

Facebook Graph API(1)—介绍

The Graph API Explorer API Explorer是一个低级工具，使用它开发者可以查询，添加和删除相关数据。对开发者开发应用非常有帮助。 ?...HTTP请求的路径是: graph.facebook.com Names 可以根据name来获取用户信息。...例如: /yourfacebookname 还有一个特别的路径来访问用户信息:/me 微软Live Connect使用的相同方式来获取用户信息。使用 /me 来获取用户信息需要认证。 ?...Login, Authorization and Permissions 登录，授权和权限使用Graph API访问数据需要先理解的几个专业术语。...Connections 连接是通过构建不同的URL通过Graph API去获取用户的具体信息。再获取用户信息前提是用户必须授权给应用，否则返回空的数据集合。

2.8K8 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

一旦授权成功，即使用户更改密码或启用MFA，攻击者仍可通过已授权的应用持续访问邮箱、日历、文件等敏感资源。...若用户已处于活动会话（即已登录Outlook Web），系统将直接显示授权同意页面，列出请求的权限范围（如“读取您的邮件”、“访问您的文件”）。...，所有授权请求必须经IT审批；监控异常授权行为：通过Microsoft Defender for Cloud Apps或自建SIEM规则，检测以下信号：新注册应用请求高权限；用户短时间内多次授权不同应用...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1931 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

受害者通常会收到来自看似内部IT部门、微软支持团队，甚至是合作方的邮件或 Teams 消息，内容大同小异：“检测到您的账户存在异常活动，请立即完成设备验证以防止服务中断。”...授权完成后，攻击者的服务器立即通过 OAuth 2.0 的 /token 端点兑换访问令牌和刷新令牌（Refresh Token），从而获得对受害者邮箱、日历、文件等资源的长期访问权——全程无需知道密码...更危险的是，一旦获得 Refresh Token，攻击者可长期维持访问，即使用户更改密码也无效——因为 OAuth 令牌独立于密码体系。...而用户根本看不到应用名称——除非仔细点击“查看详细信息”，否则默认只显示“此应用请求访问您的数据”。“大多数人在赶时间，根本不会点开看。”...监控异常 OAuth 授权行为使用 Microsoft Defender for Cloud Apps 或第三方 SIEM 工具，设置告警规则，例如：单个用户短时间内授权多个新应用；应用请求权限与其业务场景不符

3401 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

其核心价值在于解耦资源所有者（用户）与客户端应用之间的凭证传递，转而依赖短期有效的访问令牌（Access Token）与长期有效的刷新令牌（Refresh Token）完成资源访问。...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...、权限范围及发布者信息，供用户判断风险。...例如，要求访问令牌必须来自已加入Entra ID的设备，且IP地址位于企业网络：// Conditional Access Policy 示例{"conditions": {"applications"...未来研究方向包括：基于行为分析的异常授权检测（如用户通常不在凌晨3点授权新应用）、OAuth令牌的硬件级绑定（如TPM）、以及推动OAuth 2.1标准中require_pushed_authorization_requests

2931 0

基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

2025年披露的哈佛大学数据库泄露事件即为典型案例：攻击者并未利用软件漏洞或配置错误，而是通过精心策划的电话钓鱼（Vishing）手段，成功诱骗内部工作人员泄露关键系统凭证，进而获取包含校友、捐赠者及部分师生敏感信息的数据库访问权限...文中通过 Python 与 Microsoft Graph Security API 的代码示例，展示如何实现异常登录行为的自动化检测与响应。...”；用户出于困扰或信任，点击批准，攻击者即获得会话令牌。...4.2 检测层：基于行为的异常识别即使攻击者获得凭证，其行为模式通常与合法用户存在差异。可通过 Microsoft Graph Security API 实时监控高风险活动。...此外，通过 Graph API 监控，我们成功捕获了所有模拟的“不可能旅行”与“异常数据访问”事件，验证了检测机制的有效性。

2390 0

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

由于整个流程发生在合法TLS通道内，且用户确实完成了MFA，传统基于异常登录告警的机制难以触发。...此后，即使原始凭证被重置，攻击者仍可通过OAuth令牌维持API级访问，实现长期潜伏。...可集成Zscaler Private Access或Cloudflare Browser Isolation，并通过KQL查询识别高风险邮件：// KQL: 检测含OneDrive链接但发件域异常的邮件...其中，高管不应被视为“高权限用户”，而应被定义为“高风险身份主体”，适用更严格的访问控制与监控策略。...六、结语基于OneDrive的高级鱼叉钓鱼攻击代表了当前APT活动中社会工程与云技术滥用的典型范式。其成功不仅源于技术精巧，更在于对组织信任链的精准打击。

2351 0

如何设计安全Web API的指南

访问控制角色和属性访问控制: 使用基于角色的访问控制（RBAC）或基于属性的访问控制（ABAC）来根据用户的角色或属性授予适当的访问权限。...使用安全令牌令牌认证安全令牌: 使用安全、自包含的令牌，如JWT，它们携带所有必要的用户信息，而不依赖于传统的会话。...正确的错误处理明智的错误消息错误处理: 确保错误消息提供有用的信息，但不要泄露有关API内部结构的敏感信息。...监控和日志记录审计跟踪日志记录: 记录所有API访问和活动以供审计。异常检测: 实施监控以检测和警告异常模式，这些模式可能表明安全漏洞。...考虑使用API网关管理API流量 API网关: 使用API网关来管理、监控和保护API流量。网关可以提供附加功能，如缓存、速率限制和分析。

6521 0

点击加载更多

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

还原Facebook数据泄漏事件始末，用户信息到底是如何被第三方获取的？

VoidProxy平台对多因素认证的绕过机制与防御对策研究

PwnAuth——一个可以揭露OAuth滥用的利器

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

【微服务架构】微服务设计模式

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

与我一起学习微服务架构设计模式11—开发面向生产环境的微服务应用

如何在微服务架构中实现安全性？

微服务架构如何保证安全性？

如何在微服务架构中实现安全性？

基于OAuth滥用的定向钓鱼攻击与防御机制研究

基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

Facebook Graph API(1)—介绍

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

高级OAuth钓鱼攻击的演化机制与防御体系构建

基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

如何设计安全Web API的指南

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐