无法获取令牌以使用angular调用microsoft图形api - 腾讯云开发者社区

文章/答案/技术大牛

发布

高级OAuth钓鱼攻击的演化机制与防御体系构建

尤其在Microsoft 365、Google Workspace等企业生产力平台中，OAuth被深度集成于单点登录（SSO）、API调用、跨应用数据共享等关键场景。...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...二者均提供图形化面板，支持一键部署钓鱼页面、自动注册恶意OAuth应用、实时捕获授权码与令牌。其核心创新在于对OAuth协议细节的精准利用。...由于应用名称与图标可自定义，且权限描述使用通用术语（如“读取您的邮件以提供服务”），用户极易误判为合法请求。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers

2601 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

对于Microsoft Entra ID，关键令牌包括：Session Cookie：如ESTSAUTHPERSISTENT，有效期可达90天；Refresh Token：用于在后台静默获取新的访问令牌...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...例如，若受害者通常使用Windows 11 + Chrome 124访问Office 365，攻击者将配置代理以相同特征发起API请求，使登录活动在审计日志中呈现为“正常行为”。...即使攻击者窃取Access Token，也无法在其他连接中使用。...本文通过剖析其技术实现，指出单纯依赖第二因子无法解决会话令牌泄露问题，并提出以FIDO2绑定、短周期令牌、DPoP与风险驱动响应为核心的防御框架。

2121 0

您找到你想要的搜索结果了吗？

是的

没有找到

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

该流程允许用户在另一台具备浏览器的设备上完成授权，从而获取访问令牌。...一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...并输入代码：ABC123”；用户信以为真，在微软官方页面输入代码并完成MFA；攻击者轮询令牌端点，成功获取access_token与refresh_token；利用令牌调用Microsoft Graph.../devicelogin 输入user_code并完成登录后，上述脚本将成功获取访问令牌。...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json

1191 0

AngularDart4.0 指南- 依赖注入顶

引擎的新实例是否会对服务器进行异步调用？你当然不希望在测试过程中发生这种情况。如果汽车在轮胎压力低的时候应该发出警告信号呢？如果您在测试过程中无法换上低压轮胎，您如何确认它实际上会闪烁警告？...当您使用注入器注册提供者时，您将该提供者与依赖注入令牌相关联。...但是，你应该使用什么作为令牌？你没有一个类作为一个令牌; 没有HeroDiConfig类。虽然你可以使用Map，但是你不应该因为（像String）Map太普遍。...他们通过调用injector.get（）来检索。如果get（）方法无法解析请求的服务，则会引发错误。您可以使用第二个参数调用get（），如果未找到该服务，则返回该值。...如果没有向这个或任何祖先注射器注册，Angular将无法找到该服务。

6.7K2 0

JSON Web Token(JWT)教程：一个基于Laravel和AngularJS的例子

当然，如果我们想避免使用JWE的额外开销，另一个选择是将敏感信息保留在我们的数据库中，并且在需要访问敏感数据时，使用我们的token进行额外的API调用。为什么需要Web Tokens?...跨源请求共享（CORS）：当使用AJAX调用从另一个域（跨域，Cross-origin）获取资源时，我们可能会遇到禁止请求的问题，因为默认情况下，HTTP请求不包括跨域（Cross-origin）请求的...我们将创建一个示例API子域，以模拟跨域（ Cross-origin）资源共享（CORS）。...调用进行用户身份验证和样本数据以及用于提供跨域示例数据的API服务器。...在进行AJAX调用时，要获得一些视觉反馈，我们将使用angular-loading-bar script来拦截XHR请求并创建一个加载栏。

35.5K1 0

《ASP.NET Core 微服务实战》-- 读书笔记（第10章）

Cookie 和会话 Cookie 在这种加密机制中，Cookie 加密时会用到机器密钥然后当 Cookie 由浏览器发回 Web 应用时，再使用同样的机器密钥对其进行解密如果无法依赖持久化文件系统...请求头接收 Dearer 令牌下例展示一个包含 Bearer 令牌的 HTTP 跟踪会话 POST /api/service HTTP/1.1 Host: world-domination.io Authorization...例如 OAuth 2.0 （JWT），通常将 Base64 编码用作一种 URL 友好格式，因此验证令牌的第一步就是解码，以获取原有内容如果令牌使用私钥加密，服务就需要使用公钥验证令牌确实由正确的发行方颁发...app.UseSession() 以完成外部会话状态的配置保障 ASP.NET Core 微服务的安全本节，我们讨论为微服务提供安全保障的几种方法，并通过开发一个使用 Bearer 令牌提供安全功能的微服务演示其中的一种方法...使用完整 OIDC 安全流程保障服务的安全在这个流程中，用户登录的流程前面已经讨论过，即通过几次浏览器重定向完成网站和 IDP 之间的交互当网站获取到合法身份后，会向 IDP 申请访问令牌，申请时需要提供身份证令牌以及正在被请求的资源的信息

2.5K1 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

以授权码模式（Authorization Code Flow）为例，典型步骤如下：用户访问第三方应用：例如点击“使用Microsoft登录”按钮；重定向至Microsoft登录页：URL包含client_id...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...3.3 令牌获取与持久化访问用户点击“同意”后，Microsoft将授权码发送至redirect_uri。...攻击者使用refresh_token定期换取新access_token，实现长期潜伏。所有API调用均来自微软合法IP，难以被网络层检测。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

1921 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

研究结论指出，仅依赖用户教育无法应对当前高度专业化、协议级的钓鱼威胁，必须从身份治理与协议使用规范层面重构企业安全边界。...Workspace账户的访问权限，从而合法获取高权限令牌。...用户被邀请“完善注册信息”或“提交演讲议题”，并提示“使用Google/Microsoft账号一键登录以简化流程”。...调用store_tokens(tokens['access_token'], tokens['refresh_token'])return tokens获得令牌后，攻击者可调用Google People...Microsoft设备码流程令牌获取示例：import timedef poll_for_device_token(device_code):while True:resp = requests.post

2051 0

（翻译）开始使用ABP.CORE模板 (ASP.NET Core with Angular)

开始一个新使用Angular和 ASP.NET Core 的ABP项目最简单的方法就是通过官方的模板页面来生成模板。切记包含zero模块。...基于令牌的认证如果您想从移动应用程序中使用API /应用程序服务，您可以使用基于令牌的认证机制，就像我们为Angular 客户端那样做。启动模板包括jwtbearer令牌认证基础设施。...For example, we can use the User service to get a list of users: 用户api 经过验证后得到令牌，我们可以用它来调用任何授权的方法。...所有的应用服务可以远程使用。例如，我们可以使用用户服务获得用户列表： ?...获取主机的连接字符串后，它首先创建主数据库或应用的迁移，如果它已经存在。然后它就会获取租户数据库连接字符串和运行的数据库迁移。

3.8K2 0

基于会话代理的现代钓鱼攻击机制与纵深防御体系研究

值得注意的是，攻击者并非仅获取静态密码，而是通过代理中继完成MFA挑战，最终获得有效的OAuth 2.0访问令牌或会话Cookie，实现对邮箱、OneDrive乃至Azure资源的完全控制。...（Token Binding）：将访问令牌与客户端TLS证书绑定，防止令牌被盗后在其他设备使用。...重点关注：新注册应用请求Mail.ReadWrite、User.Read.All等高危权限；非常规设备（如未知User-Agent）获取Refresh Token；同一Refresh Token在多地短时使用...步骤2：使用合法账户完成代理登录，获取Refresh Token。步骤3：启用上述防御策略。...结果：未启用Private Link时，代理成功获取会话；启用Private Link后，代理因无法解析内网FQDN失败；启用连续验证后，非常规IP登录被阻断；授权监控规则在30秒内告警新应用注册事件。

2231 0

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

但随着MFA（多因素认证）普及，仅凭密码已无法完成登录。于是，攻击者转向更隐蔽的“令牌窃取”路径。...# 攻击者侧：使用Microsoft Graph API发起设备代码请求（简化示例）import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后，攻击者即可调用Microsoft Graph API，读取邮件、日历、OneDrive文件、Teams消息，甚至发送新邮件冒充受害者——全程无需知道密码...邮件安全网关：钓鱼邮件来自真实邮箱，内容无恶意附件或链接（指向的是微软官方域名），难以拦截；MFA：用户确实在微软官网完成了交互式登录，MFA已通过；SIEM/SOAR：后续的API调用（如读取邮件）来自微软数据中心...例如，若某账户在短时间内从不同国家调用Graph API，即使Token合法，也应触发二次验证。（4）员工意识培训需升级传统“别点可疑链接”已不够。

1121 0

如何使用S4UTomato通过Kerberos将服务账号提权为LocalSystem

接下来，通过一系列API调用，并在身份认证过程中执行中间人攻击（NTLM中继），以生成针对目标本地系统中NT AUTHORITY\SYSTEM账号的访问令牌。...最后，攻击者将能够获取到这个令牌，然后使用CreateProcessWithToken()或CreateProcessAsUser()函数传递令牌，并创建一个新的进程来获取SYSTEM权限。...Windows中，大多数Windows服务默认使用Microsoft虚拟帐户运行。...因此，我们可以使用S4UTomato来获取本地机器上域管理员帐户“administrator”的服务凭证，然后在SCMUACBypass工具的帮助下，利用该凭证创建系统服务并获得SYSTEM权限。...在执行操作之前，我们需要为本地设备账户获取TGT，但由于服务账户权限的限制，导致我们无法获取到长期密钥，因此无法构造KRB_AS_REQ请求。

4881 0

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

研究揭示，此类攻击通过滥用OAuth 2.0设备授权流程，在用户主动授权的掩护下获取长期有效的刷新令牌，从而规避传统基于密码泄露或会话劫持的检测机制。.../devicelogin），输入user_code；授权服务器验证用户身份（通常包括MFA）后，将授权授予客户端；客户端通过轮询使用device_code换取访问令牌（access_token）和刷新令牌...留空（设备授权无需回调）API权限：勾选Microsoft Graph的Delegated权限，如：Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...authorization_pending', 'slow_down'):print("Authorization failed:", token_json.get('error_description'))break4.3 令牌滥用示例获取令牌后...，攻击者可调用Microsoft Graph API读取邮件：import requestswith open('stolen_token.json') as f:token = json.load(f

1481 0

Node.js-具有示例API的基于角色的授权教程

更新历史： 2020年7月2日-更新至express-jwt版本6.0.0以修复安全漏洞 2020年5月15日-添加了有关使用Angular 9客户端应用程序运行Node.js api的说明 2018年...使用基于Node.js角色的Auth API运行Angular 9客户端应用有关示例Angular 9应用程序的完整详细信息，请参阅Angular 9 - Role Based Authorization...在用户控制器中使用它来限制对“获取所有用户”和“按ID获取用户”路由的访问。...Node.js Auth用户服务路径：/users/user.service.js 用户服务包含用于验证用户凭据并返回JWT令牌的方法，用于在应用程序中获取所有用户的方法以及用于通过id获取单个用户的方法...重要说明：api使用“"secret”属性来签名和验证用于身份验证的JWT令牌，并使用您自己的随机字符串对其进行更新，以确保没有其他人可以生成JWT来获得对应用程序的未授权访问。

7.6K1 0

Hoppscotch：开源 API 开发工具，快捷实用 | 开源日报 No.77

picture hoppscotch/hoppscotch[1] Stars: 56.1k License: MIT picture Hoppscotch 是一个开源的 API 开发生态系统，主要功能包括发送请求和获取实时响应...该项目主要功能包括：安全存储：可将任意键/值类型的密钥存储在 Vault 中，并对其进行加密后再写入持久化存储介质，以确保即使获取原始数据也无法直接获得其中保存着的机敏信息。...以项目为基础频繁测验包含多种主题：数据科学原理、伦理概念、统计与概率分析等 angular/components[4] Stars: 23.7k License: MIT Angular 官方组件是由...Angular 团队构建和维护的，包括常见 UI 组件和工具，以帮助开发者构建自定义组件。...该项目维护了几个 npm 软件包： @angular/cdk：帮助开发者使用常见交互模式编写自定义 UI 组件的库。

1.6K1 0

TrustedInstaller，停止 Windows Defender

image.png 是的，确实可以通过图形界面禁用，而不是停止（服务仍在运行），但是这个选项我们并不感兴趣，因为很多时候我们的恶意软件不会以这种方式与系统交互。...令牌 Microsoft Windows 操作系统中的令牌是一种安全元素，当进程和线程想要对安全系统对象（文件、注册表、服务......）执行操作时，它为它们提供标识。...因此，我们的应用程序可以复制和/或使用来自另一个线程/进程的令牌，只要我们有权打开远程进程并使用适当的权限（Impersonate / DuplicateToken）获取其令牌处理程序。...可能，即使这些作者也不是原始知识分子，但是，请拉出他们的参考资料以获取更多信息。...image.png 最后，请注意，获取TrustedInstaller令牌还有多种其他方式，其中涉及更改获取系统令牌的方式，甚至伪造一个呈现该组的令牌，而无需从TrustedInstaller.exe

2.3K1 0

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

一、一场“巧合”的攻击暴露了更危险的趋势2025年10月，一家位于德国的能源企业安全团队在例行日志审计中发现异常：多个高管账户在凌晨时段调用了Microsoft Graph API，读取了大量内部邮件和...一旦确认，攻击者的轮询脚本立即获得Access Token，并可调用任意Graph API权限。...公共互联网反网络钓鱼工作组技术专家芦笛解释，“微软服务器看到的是正常API调用，防火墙看到的是HTTPS流量，EDR看到的是合法进程——没有任何异常信号。”...如今，两者使用相同工具、相同流程，归因变得模糊，导致防御策略滞后。“你无法再通过攻击手法判断对方是间谍还是劫匪。”芦笛坦言，“这迫使我们必须放弃‘按威胁类型防御’的思路，转向‘按风险行为防御’。”...（如非常规地理位置、高频API调用）；使用Microsoft Defender for Cloud Apps设置异常活动告警，如“单用户1小时内下载10GB OneDrive数据”。

1241 0

Protected Process Light (PPL) Attack

lsass.exe为：同时无法对lsass的内存进行访问：加载驱动程序获取hash 在 Windows 中，本地用户帐户使用算法 ( NTLM ) 进行哈希处理，并存储在称为 SAM（安全帐户管理器...就像其他操作系统一样，存在各种离线和在线攻击，以获取、重置或以其他方式重用存储在 SAM 中的哈希值。...反恶意软件服务也可以在反恶意软件安装过程中通过调用特殊的 API 进行注册，如本文档后面所述。...这是因为非PPL进程 taskkill.exe无法使用诸如 OpenProcess之类的 API 获取具有对PPLPROCESS_TERMINATE进程的访问权限的句柄。...1.将权限升级到trustedinstaller 我们使用受信任的安装程序组令牌自动窃取系统令牌，以提升到受信任的安装程序权限，在这里，我们使用一个开源工具来利用它： https://

2.6K2 0

基于ASP.NET Core 3.x的端点路由(Endpoint Routing)实现控制器(Controller)和操作(Action)分离的接口服务

Ardalis.ApiEndpoints，其中的Readme中描述了为什么要控制器和操作分离，为什么有ApiEndpoints这个项目的出现，引用并总结如下：常规的MVC模式本质上是一种反模式，这种模式集合了许多但从不相互调用的方法...随着项目的发展，一个控制器会变得越来越臃肿，甚至可能无法控制。当你需要创建一个不同类型的接口服务的时候，还得首先创建相应的控制器，无法做到业务逻辑分开处理等等问题。...下面我们就使用Ardalis.ApiEndpoints来创建一个示例。.../summary> [Required] public string Name { get; set; } } } 创建用于用户授权的目录v1/Auth，并创建获取令牌的类...因为我们还未对接口访问进行授权，那么我们需要先请求授权接口:/api/v1/auth/grant_token，以获取用户令牌，如下： ? 将获取到的令牌填入授权窗口中，如下： ? ?

1.8K3 0

移除 View Engine 转用 Ivy，盘点Angular 12的重要更新

，ngcc 运作非常高性能，只会在必要的时候被调用。...由于 View Engine 函数库的存在，Angular 暂时还无法移除旧的实例化，这导致维护成本不断增加，Angular 整体发展速度也被拖慢。...Angular CDK 与 Angular Material 共同开放新的 Sass API 接口，可供您通过新的 @use 语法进行使用。...在更新至 Angular 12 之后，应用会通过 ng update 进行更新并自动切换为新的 API。提供相关工具，可使用最新算法将旧版本地化 ID 迁移为新 ID。...APP-INITIALIZER 令牌的类型有所变更，旨在准确反映 Angular 处理的返回值类型。同样属于重大变化。

5.9K1 0

点击加载更多

高级OAuth钓鱼攻击的演化机制与防御体系构建

VoidProxy平台对多因素认证的绕过机制与防御对策研究

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

AngularDart4.0 指南- 依赖注入顶

JSON Web Token(JWT)教程：一个基于Laravel和AngularJS的例子

《ASP.NET Core 微服务实战》-- 读书笔记（第10章）

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

基于OAuth滥用的定向钓鱼攻击与防御机制研究

（翻译）开始使用ABP.CORE模板 (ASP.NET Core with Angular)

基于会话代理的现代钓鱼攻击机制与纵深防御体系研究

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

如何使用S4UTomato通过Kerberos将服务账号提权为LocalSystem

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

Node.js-具有示例API的基于角色的授权教程

Hoppscotch：开源 API 开发工具，快捷实用 | 开源日报 No.77

TrustedInstaller，停止 Windows Defender

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

Protected Process Light (PPL) Attack

基于ASP.NET Core 3.x的端点路由(Endpoint Routing)实现控制器(Controller)和操作(Action)分离的接口服务

移除 View Engine 转用 Ivy，盘点Angular 12的重要更新

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐