无法获取用于调用Microsoft Graph API的访问令牌 - 腾讯云开发者社区

文章/答案/技术大牛

发布

VoidProxy平台对多因素认证的绕过机制与防御对策研究

更严重的是，若攻击者获取IdP管理员权限，可直接修改条件访问策略或注册恶意应用，造成全租户级风险。...对于Microsoft Entra ID，关键令牌包括：Session Cookie：如ESTSAUTHPERSISTENT，有效期可达90天；Refresh Token：用于在后台静默获取新的访问令牌...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...攻击者利用这些令牌可直接通过API访问用户邮箱、OneDrive文件、Teams聊天记录等，完全绕过前端UI与MFA提示。.../.default返回的Access Token可立即用于读取邮件：GET /v1.0/me/messages HTTP/1.1Host: graph.microsoft.comAuthorization

2411 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

该流程允许用户在另一台具备浏览器的设备上完成授权，从而获取访问令牌。...更严重的是，即使组织启用了短信或电话MFA，攻击者仍可在用户完成授权后直接获取长期有效的刷新令牌（Refresh Token），实现持久化访问。...一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...并输入代码：ABC123”；用户信以为真，在微软官方页面输入代码并完成MFA；攻击者轮询令牌端点，成功获取access_token与refresh_token；利用令牌调用Microsoft Graph...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json

2191 0

您找到你想要的搜索结果了吗？

是的

没有找到

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

然而，近期多起安全事件表明，攻击者正通过滥用Microsoft Entra ID（原Azure AD）的OAuth 2.0授权框架，绕过MFA保护，直接获取对Microsoft 365账户的持久化访问权限...OAuth 2.0作为现代身份联合与资源授权的标准协议，在Microsoft Entra ID中被广泛用于第三方应用集成。用户通过一次授权操作，即可授予外部应用对其邮箱、日历、文件等资源的访问权限。...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...3.3 令牌获取与持久化访问用户点击“同意”后，Microsoft将授权码发送至redirect_uri。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

2531 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中，第三方应用若需访问用户资源（如邮件、日历），必须通过OAuth 2.0授权码流程获取权限。...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...4.2 条件访问：基于权限范围的策略拦截创建条件访问策略，阻止包含高危权限的应用获取令牌：策略逻辑：触发条件：应用请求包含Mail.ReadWrite、User.ReadWrite.All等；操作：阻止登录...4.6 Graph API 异常行为监控部署KQL查询，检测异常API调用模式：// 检测单应用大量邮件读取AuditLogs| where OperationName == "Consent to application

2421 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

劫持授权响应、绕过多因素认证（MFA）等手段，在不获取用户密码的前提下实现持久化账户访问。...尤其在Microsoft 365、Google Workspace等企业生产力平台中，OAuth被深度集成于单点登录（SSO）、API调用、跨应用数据共享等关键场景。...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...以下Python脚本利用Microsoft Graph API实现自动化审计：import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

2841 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

更令人不安的是，这种攻击对多因素认证（MFA）几乎免疫——即使你启用了短信或 Authenticator 验证，只要在微软官网输入了那串“设备代码”，攻击者就能绕过所有防线，直接获取访问令牌（Access...OAuth 是现代互联网身份授权的事实标准。它允许第三方应用在不获取用户密码的前提下，访问用户在其他服务（如 Google、Microsoft）上的资源。...Microsoft Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep...(5)else:print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：#...（如 HR 系统请求 Mail.Send）；Refresh Token 被频繁用于获取新 Access Token。

2971 0

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

上一篇结尾我们成功的拿到了 access_token，并且通过 access_token 验证获取到调用Api资源的结果。...这里直译起来比较拗口，其实说白了，就是这个令牌用于谁，使用令牌去访问谁，谁就是audience。　　2，iss（Issuer）：颁发者。...此处应该有掌声，成功的通过验证，并且获取到 api资源，但是这种模式是最不推荐的，因为client可能存了用户密码，此模式仅用于受信任的客户端。复制会发生密码泄露。所以不推荐使用。...://graph.microsoft.com/.default。...此值告知 Microsoft 标识平台终结点：在为应用配置的所有直接应用程序权限中，终结点应该为与要使用的资源关联的权限颁发令牌使用共享机密访问令牌请求：https://docs.microsoft.com

3K1 0

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

研究揭示，此类攻击通过滥用OAuth 2.0设备授权流程，在用户主动授权的掩护下获取长期有效的刷新令牌，从而规避传统基于密码泄露或会话劫持的检测机制。...2 OAuth 2.0设备授权流程的技术基础OAuth 2.0设备授权模式（Device Authorization Grant）定义于IETF RFC 8628，适用于无法直接处理重定向或输入复杂凭据的设备...其优势在于：无需漏洞利用或密码爆破，成功率高；绕过基于短信或推送通知的MFA；获取的refresh_token可用于长期驻留，便于部署Cobalt Strike或Rclone等工具进行数据外泄。...，攻击者可调用Microsoft Graph API读取邮件：import requestswith open('stolen_token.json') as f:token = json.load(f...例如，Mail.ReadWrite权限无法限定为“仅收件箱”，这使得即使合法应用也可能被滥用于数据窃取。未来需推动更细粒度的权限委托机制。

2161 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

一、引言近年来，随着企业向云办公平台（如Microsoft 365、Google Workspace）的大规模迁移，身份认证体系逐步从传统的用户名/密码模型转向基于令牌（token）的现代协议，其中OAuth...攻击目标不再是静态密码，而是动态的、具有时效性的授权令牌；攻击载体不再是可执行文件，而是合法云服务的API接口。这一变化对企业的安全边界提出了全新挑战。...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1901 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

Workspace账户的访问权限，从而合法获取高权限令牌。...，搭建几乎无法肉眼区分的仿冒报名页面。...API调用store_tokens(tokens['access_token'], tokens['refresh_token'])return tokens获得令牌后，攻击者可调用Google People...Microsoft设备码流程令牌获取示例：import timedef poll_for_device_token(device_code):while True:resp = requests.post...delete类似地，Microsoft Graph API支持查询用户授予的同意记录：GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization

2781 0

凭证窃取主导下的现代网络攻击链演化与防御体系构建

三者之间形成高度协同的攻击闭环：钓鱼获取凭证 → 凭证用于云环境横向移动 → 快速部署勒索载荷或窃取敏感数据。...尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中，一旦主账户凭证失窃，攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄，而平均检测延迟仍超过...例如，一个仅需读取日历的协作工具，常被授予“完全访问邮箱”权限，一旦该应用令牌泄露，攻击者可直接读取高管邮件。...2.2 攻击链中的角色演变在传统攻击模型中，凭证窃取多用于维持持久化访问；而在当前云原生环境中，它已成为初始访问（Initial Access）的首选手段。...典型路径如下：钓鱼获取员工凭证（含MFA绕过，如MFA疲劳攻击）；登录云控制台（如Azure AD、AWS IAM）；枚举高权限账户或服务主体；申请或窃取OAuth令牌/会话Cookie；通过Graph

2491 0

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

要理解这场危机的严重性，必须先厘清技术本质。传统钓鱼攻击依赖伪造登录页面窃取用户名和密码。但随着MFA（多因素认证）普及，仅凭密码已无法完成登录。于是，攻击者转向更隐蔽的“令牌窃取”路径。...；设备凭此Token访问API资源。...# 攻击者侧：使用Microsoft Graph API发起设备代码请求（简化示例）import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后，攻击者即可调用Microsoft Graph API，读取邮件、日历、OneDrive文件、Teams消息，甚至发送新邮件冒充受害者——全程无需知道密码...例如，若某账户在短时间内从不同国家调用Graph API，即使Token合法，也应触发二次验证。（4）员工意识培训需升级传统“别点可疑链接”已不够。

1711 0

onedrive for business使用python上传文件

API 终结点 URL OneDrive for Business 资源的访问令牌在当前令牌到期时生成其他访问令牌的刷新令牌。...onedrive for business使用的是标准的Oauth2流程，所以大概流程就是先获取code，使用code交换access_token，然后就可以调用api了，这里先贴出获取code以及交换...token之后，就可以去调用onedrive for business相关的代码了，由于大于4MB的文件需要创建会话去分片上传，所以这里我写了两个上传方法，大概代码如下： def get_path(self...终结点是https://graph.microsoft.com onedrive的请求api是https://graph.microsoft.com/v1.0/me/drive，但是文档中以及网上教程写的是...https://graph.microsoft.com/me/drive，这也是我认为比较坑的一点 secret需要复制“值”，而不是“机密ID” 完整代码此处内容需要评论回复后方可阅读使用实例 1

5.3K5 0

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

，攻击者立即调用Microsoft Graph API遍历收件箱：import requestsACCESS_TOKEN = "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIs....4 防御体系构建4.1 启用基于上下文的条件访问策略Azure AD条件访问可限制高风险会话的令牌颁发。...以下为通过Microsoft Graph API创建条件访问策略的示例：policy = {"displayName": "Block risky logins to SharePoint","state...即使用户被诱导至仿冒页面，浏览器不会提示签名，攻击者无法获取有效凭证。更重要的是，无密码认证不产生可被代理复用的会话Cookie，从根本上消除AiTM的攻击面。...会话的User-Agent、IP、地理位置是否与共享创建者一致？通过构建会话图谱（Session Graph），将文件访问、登录、API调用等事件关联，可有效识别异常跳转链。

3151 0

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

在企业邮箱频频成为网络钓鱼“重灾区”的当下，一个好消息传来：知名网络安全社区CyberDrain近日正式发布一款面向中小托管服务商（MSP）和企业的免费开源工具，专门用于检测和阻断Microsoft 365...它不依赖外部SaaS服务，而是直接调用Microsoft Graph API，实时扫描租户内的高风险行为：检测异常收件箱规则：如自动转发至外部域名、删除特定关键词邮件等；识别可疑OAuth应用授权：尤其是请求...、刷新访问令牌。...技术内核：Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效，得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。

1641 0

Office开发者计划-永久白嫖Office365

所需配置账户名称+账户密码+应用程序(客户端)ID 账户名称+客户端机密+应用程序(客户端)ID 功能影响程序中所有API均可调用部分API权限受限无法调用(官方限制) API权限配置可由PC...版程序自动配置添加API权限必须手动配置API权限可以选择相应的API进行配置此处以Microsoft Graph为参考，选择“委托的权限”，根据列出的API权限需求表进行选择...：证书和密码->添加客户端密码确认完成在列表处可以看到生成的记录，点击选择复制值（即客户端密码） b.API调用工具 Microsoft Graph 浏览器是一种基于 Web 的工具...，可用于生成和测试对 Microsoft Graph API 的请求 API需要的权限设定可在预览卡中查阅，授权后则可再次尝试调用响应 Postman 是一个可用于向 Microsoft...Graph API 发出请求的工具：Postman&Microsoft Graph API使用 c.Microsoft Graph 快速入门示例 Microsoft Graph入门

11.4K3 2

聊天、会议、多媒体一体化：多平台支持的即时通讯系统 | 开源日报 No.44

基于 Edge Runtime 实现了新的获取和缓存机制动态生成 OG 图片 (Open Graph) 使用 Tailwind CSS 进行样式设计集成 Shopify 完成结账与支付功能，并支持自动根据系统设置切换浅色.../深色主题该项目提供了一套完整且高效的解决方案，适用于构建各种类型的电子商务网站。...可通过负载均衡方式访问不同渠道，并支持流式传输实现打字机效果。支持多机部署，在令牌管理中设置过期时间和额度，并且可以进行兑换码管理批量生成与导出充值功能。...Library (MSAL) for .NET 是 Microsoft 提供的一款用于开发者身份验证和调用受保护 API 的库。...它使用行业标准的 OAuth2 和 OpenID Connect，支持获取安全令牌来访问受保护的 API，并且还提供了对 Azure AD B2C 的支持。

1.6K3 0

鼠标悬停也能中招！带毒PPT正用来传播Graphite恶意软件

该DLL 创建了一个用于持久性的注册表项。【触发执行恶意代码】接下来，lmapi2.dll在之前由 DLL 创建的新线程上获取并解密第二个 JPEG 文件并将其加载到内存中。...Graphite 滥用 Microsoft Graph API 和 OneDrive ，与命令和控制 (C2) 服务器通信。...攻击者通过使用固定客户端 ID 访问服务以获取有效的 OAuth2 令牌。...【Graphite 使用的固定客户端 ID】研究人员解释说，使用新的 OAuth2 令牌，Graphite 通过枚举 check OneDrive 子目录中的子文件来查询 Microsoft GraphAPI...“如果找到新文件，则下载内容并通过 AES-256-CBC 解密算法解密，恶意软件通过分配新的内存区域并执行接收到的 shellcode 来允许远程命令执行调用一个新的专用线程。”研究人员说道。

1.5K2 0

基于会话代理的现代钓鱼攻击机制与纵深防御体系研究

值得注意的是，攻击者并非仅获取静态密码，而是通过代理中继完成MFA挑战，最终获得有效的OAuth 2.0访问令牌或会话Cookie，实现对邮箱、OneDrive乃至Azure资源的完全控制。...：自动化登录受害者邮箱；利用Graph API枚举组织通讯录；部署恶意应用注册（如伪装为“HR Portal”）以持久化访问。...更危险的是，若攻击者已窃取Refresh Token，可长期静默访问API资源，而无需再次交互。...（Token Binding）：将访问令牌与客户端TLS证书绑定，防止令牌被盗后在其他设备使用。...内部资源Private Link：将关键服务（如Azure DevOps、Exchange Online）配置为仅可通过Azure Private Endpoint访问，公网无法直连，从根本上阻断钓鱼代理的中继可能

2501 0

基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

该工具包通过动态反向代理机制，在用户完成完整认证流程（包括输入密码与MFA验证码）后，同步截获有效会话Cookie与访问令牌，并立即用于接管Microsoft 365账户，实现对Outlook、Teams...尤其在Microsoft 365生态中，一旦攻击者获得有效会话Cookie或OAuth 2.0访问令牌，即可直接调用Graph API访问邮件、日历、文件甚至执行管理员操作，而无需再次触发MFA。...具体流程如下：用户访问钓鱼URL；攻击者服务器向Microsoft 365发起GET /login请求，获取原始登录页HTML；攻击者替换HTML中的表单提交地址（action）为自身代理端点，并注入JavaScript...4 防御体系构建4.1 启用连续访问评估（Continuous Access Evaluation, CAE）CAE是Microsoft推出的实时令牌撤销机制。...其认证过程包含对RP ID（Relying Party Identifier）的校验，确保仅在真实Microsoft域名下触发，仿冒页面无法获取有效签名。

2091 0

点击加载更多

VoidProxy平台对多因素认证的绕过机制与防御对策研究

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

高级OAuth钓鱼攻击的演化机制与防御体系构建

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

基于OAuth滥用的定向钓鱼攻击与防御机制研究

凭证窃取主导下的现代网络攻击链演化与防御体系构建

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

onedrive for business使用python上传文件

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

Office开发者计划-永久白嫖Office365

聊天、会议、多媒体一体化：多平台支持的即时通讯系统 | 开源日报 No.44

鼠标悬停也能中招！带毒PPT正用来传播Graphite恶意软件

基于会话代理的现代钓鱼攻击机制与纵深防御体系研究

基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐