日历读取报告的Graph API访问令牌没有权限 - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

OAuth 2.0作为现代身份联合与资源授权的标准协议，在Microsoft Entra ID中被广泛用于第三方应用集成。用户通过一次授权操作，即可授予外部应用对其邮箱、日历、文件等资源的访问权限。...2025年初，多家安全机构报告了多起利用此手法的攻击事件。...、redirect_uri、scope等参数；用户输入凭证并完成MFA；显示OAuth同意页面：列出所请求的权限（如“读取你的邮件”）；用户点击“同意”：Microsoft颁发授权码；第三方应用用授权码换取访问令牌...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

2551 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中，第三方应用若需访问用户资源（如邮件、日历），必须通过OAuth 2.0授权码流程获取权限。...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志，也因数据量庞大而忽略异常。3.4 审计滞后企业极少定期审查已授权应用列表。...4.2 条件访问：基于权限范围的策略拦截创建条件访问策略，阻止包含高危权限的应用获取令牌：策略逻辑：触发条件：应用请求包含Mail.ReadWrite、User.ReadWrite.All等；操作：阻止登录

2431 0

您找到你想要的搜索结果了吗？

是的

没有找到

凭证窃取主导下的现代网络攻击链演化与防御体系构建

思科最新全球威胁态势报告指出，凭证窃取已连续多个周期稳居初始入侵矢量首位，其背后驱动因素包括密码复用行为的普遍性、生成式人工智能（GenAI）赋能的社会工程精细化，以及SaaS生态爆炸式增长带来的权限管理复杂化...思科2025年发布的全球威胁态势报告明确指出，超过68%的已确认入侵事件以凭证窃取为初始入口，远超漏洞利用（19%）与恶意软件投递（13%）。...OAuth 2.0授权虽简化了单点登录（SSO），但也导致权限过度授予问题。例如，一个仅需读取日历的协作工具，常被授予“完全访问邮箱”权限，一旦该应用令牌泄露，攻击者可直接读取高管邮件。...典型路径如下：钓鱼获取员工凭证（含MFA绕过，如MFA疲劳攻击）；登录云控制台（如Azure AD、AWS IAM）；枚举高权限账户或服务主体；申请或窃取OAuth令牌/会话Cookie；通过Graph...此过程中，攻击者无需部署恶意软件，全程利用合法API调用，规避传统EDR检测。思科报告显示，73%的勒索事件中，攻击者在获得凭证后4小时内完成数据加密或外传。

2521 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

你有没有收到过这样的邮件？“您的 Microsoft 账户需要立即完成安全验证。请访问 https://aka.ms/devicelogin，输入以下代码：**ABCD-EFGH**。”...授权完成后，攻击者的服务器立即通过 OAuth 2.0 的 /token 端点兑换访问令牌和刷新令牌（Refresh Token），从而获得对受害者邮箱、日历、文件等资源的长期访问权——全程无需知道密码...更危险的是，一旦获得 Refresh Token，攻击者可长期维持访问，即使用户更改密码也无效——因为 OAuth 令牌独立于密码体系。..."❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近10封邮件...更隐蔽的是，攻击者可申请最小必要权限（如仅 Mail.Read），避免触发高风险权限警报。而企业若未启用条件访问（Conditional Access）策略，这类低权限授权几乎不会被审计系统标记。

3021 0

Barracuda预警：高级OAuth钓鱼正悄然接管你的企业账号

你有没有在登录某个小工具或第三方应用时，看到过这样的提示：“此应用想要访问你的Microsoft 365邮箱、日历和文件”？...比如，用微软账号登录一个项目管理工具，该工具就能读取你的日历安排会议——这一切看似安全，却暗藏陷阱。...此举可阻断90%以上的恶意应用注册。2. 最小权限原则 + 定期审计限制应用仅申请必要权限（如只读邮件而非“完全访问”）。...攻击者常利用宽松的重定向配置，将令牌发送至自己的服务器。4. 实施条件式访问（Conditional Access）对访问敏感资源（如财务邮箱、高管账户）的行为，强制绑定设备指纹、IP范围或合规状态。...即使令牌被盗，也无法在陌生设备上使用。5. 定期吊销可疑刷新令牌通过Microsoft Graph API或安全中心，监控异常令牌活动（如非工作时间、非常用地点），并批量撤销高风险会话。

3221 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用，client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”，并申请了以下API权限：Microsoft Graph: Mail.ReadWrite...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...未来需推动更细粒度的权限委托机制（如Microsoft Graph Delegated Permissions with Scopes Restriction）。另一个挑战是刷新令牌的长期有效性。

2211 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

一旦授权成功，即使用户更改密码或启用MFA，攻击者仍可通过已授权的应用持续访问邮箱、日历、文件等敏感资源。...若用户已处于活动会话（即已登录Outlook Web），系统将直接显示授权同意页面，列出请求的权限范围（如“读取您的邮件”、“访问您的文件”）。...API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1911 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

其核心价值在于解耦资源所有者（用户）与客户端应用之间的凭证传递，转而依赖短期有效的访问令牌（Access Token）与长期有效的刷新令牌（Refresh Token）完成资源访问。...此类攻击具备高度隐蔽性：因全程使用标准OAuth流程，流量特征与正常业务无异；且一旦授权成功，攻击者可绕过MFA持续访问邮箱、日历、OneDrive等敏感资源，甚至利用被控账户横向扩散。...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...由于应用名称与图标可自定义，且权限描述使用通用术语（如“读取您的邮件以提供服务”），用户极易误判为合法请求。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers

2851 0

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

他们只是利用了一种名为“设备代码授权流”（Device Code Flow）的合法OAuth 2.0协议机制，诱导她亲手交出了访问令牌（Access Token）。这并非孤例。...breaktime.sleep(5)拿到Token后，攻击者即可调用Microsoft Graph API，读取邮件、日历、OneDrive文件、Teams消息，甚至发送新邮件冒充受害者——全程无需知道密码...邮件安全网关：钓鱼邮件来自真实邮箱，内容无恶意附件或链接（指向的是微软官方域名），难以拦截；MFA：用户确实在微软官网完成了交互式登录，MFA已通过；SIEM/SOAR：后续的API调用（如读取邮件）来自微软数据中心...在其2025年发布的《云身份威胁报告》中，设备代码滥用被列为“高隐蔽性持久化访问”（High-Fidelity Persistent Access）的典型代表。五、如何防御？...例如，若某账户在短时间内从不同国家调用Graph API，即使Token合法，也应触发二次验证。（4）员工意识培训需升级传统“别点可疑链接”已不够。

1721 0

网络钓鱼对金融行业安全的威胁机制与防御体系构建

中邮箱、日历的访问权限。...在金融场景中，此类令牌可被用于：读取客户邮件中的交易确认信息；访问云存储中的财务报表或合同；通过API调用发起资金转账（若权限配置不当）；作为跳板横向移动至内部业务系统。...最小权限原则：限制应用仅申请必要API权限（如Mail.Read而非Mail.ReadWrite），并通过权限分级审批机制控制高危权限（如资金操作）。...定期审计与自动清理：利用Microsoft Graph API或Google Admin SDK定期扫描已授权应用，自动吊销60天未使用的令牌，并标记异常权限组合（如同时请求邮箱与云存储访问）。...短时效操作令牌：对敏感操作（如API密钥重置）生成一次性、5分钟内有效的操作令牌，通过企业IM或硬件令牌分发，避免长期凭证暴露。

1761 0

开源也能防钓鱼？CyberDrain推免费工具帮中小企业守住Microsoft 365大门

比如，一封看似来自“IT部门”的邮件写道：“为提升协作效率，请授权‘TeamSync Pro’访问您的日历和邮件。”...一旦用户点击“同意”，攻击者就获得了对该账户的长期访问权限，甚至能绕过MFA。...、刷新访问令牌。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...不过，工具也有门槛：部署者需具备一定的PowerShell或Python脚本能力，并为服务账号配置适当的Graph API权限（如AuditLog.Read.All、Directory.Read.All

1641 0

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

、日历及共享文档。...（2.4）横向移动与持久化获取邮箱访问权后，攻击者常利用“自动转发规则”窃取未来邮件，或通过Graph API读取联系人、会议记录，为下一轮攻击提供情报。...；部署专用安全报告通道：在Outlook中集成一键举报按钮，直连SOC团队，缩短响应时间。...（5.1）系统架构前端：Outlook插件，提供举报按钮与可疑链接预览；中台：基于Microsoft Graph API的行为分析引擎；后台：条件访问策略管理与OAuth授权审计模块。...通过将最小权限原则、上下文验证机制与自动化响应能力嵌入政治工作流，可在保障民主效率的同时，显著提升网络韧性。

2031 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

Workspace账户的访问权限，从而合法获取高权限令牌。...此类攻击之所以高效，源于三个技术与心理层面的耦合：其一，OAuth授权界面由微软或谷歌官方呈现，用户天然信任；其二，授权请求中常包含看似合理的权限范围（如“读取基本资料”），掩盖其后续滥用意图；其三，攻击者通过...攻击者服务器立即用该code向Google令牌端点交换访问令牌（access token）和刷新令牌（refresh token）：# 攻击者后端：用授权码换取令牌import requestsdef...API、Gmail API等，读取联系人、邮件、日历，甚至发送钓鱼邮件扩大攻击面。...API支持查询用户授予的同意记录：GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization: Bearer

2791 0

还原Facebook数据泄漏事件始末，用户信息到底是如何被第三方获取的？

先决条件登录 Facebook 账户在单独的窗口中打开 Graph API Explorer 概述 Graph API Explorer 是一款应用程序，能够让你探索 Facebook 的社交图谱。...访问行为概述你的所有访问请求都必须包括如下三个操作：访问行为：POST，GET，DELETE 包含 Graph AP version ，节点，字段，边等的路径具有所需权限的访问令牌从 Facebook...中读取数据首先是查询当你打开 Graph API Explorer 时，它将自动加载最新版本的 Graph API 和默认的 GET 请求，如：GET / me？...产生这种情况的原因可能是用户没有可用的照片，因此并没有填写相册的信息。或者，由于你的访问令牌中不包含访问此数据所需的权限而导致的访问权限问题，也有可能会发生这种情况。...访问令牌：如果你还没有 publish_actions 的权限令牌，请先获取相关权限的访问令牌。获取 post_id ：在第一篇文章回复中，点击 id 链接。

5.3K5 0

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

本文基于2024至2025年公开威胁情报、厂商报告及实验复现，系统分析俄罗斯、中国、朝鲜背景的国家支持黑客与勒索软件运营者如何共同采用并优化设备代码钓鱼技术，以实现对云身份基础设施的持久化入侵。...留空（设备授权无需回调）API权限：勾选Microsoft Graph的Delegated权限，如：Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...，攻击者可调用Microsoft Graph API读取邮件：import requestswith open('stolen_token.json') as f:token = json.load(f...设置自动化规则，例如：当同一用户在24小时内授权超过2个未列入白名单的应用，且包含Mail.ReadWrite权限时，自动吊销令牌并告警。...可行的折中方案包括：仅对高风险用户组（如高管、财务）禁用；启用“连续访问评估”（Continuous Access Evaluation, CAE），使令牌在检测到风险时实时失效；要求所有设备授权请求必须来自合规设备

2191 0

FireEye发布了检测 SolarWinds的审计工具

网络安全公司 FireEye 今天发布了一份报告，详细介绍了攻入其内部网络的 SolarWinds 所使用的技术。...在 FireEye 长达 35 页的报告中，FireEye 细致而又深入地介绍了这些技术，以及可以应用的检测和修复策略。...这使攻击者可以为任意用户伪造令牌，被称为 Azure AD 后门攻陷高权限用户（例如，全局管理员或应用程序管理员）的 Microsoft 365 同步的本地用户帐户的凭据通过向其添加恶意凭证来劫持现有的...Microsoft 365 应用程序，以便使用分配给该应用程序的合法权限。...例如能够绕过双因子认证读取电子邮件、以任意用户身份发送电子邮件、访问用户日历等 FireEye 表示：“虽然 UNC2452 表现出一定程度的技术复杂性和逃避检测性，但观察到的技术仍然是可检测到的”。

6912 0

PwnAuth——一个可以揭露OAuth滥用的利器

然而，对于非传统但却同样危险的社会工程——OAuth滥用却没有给予足够重视。在OAuth滥用攻击中，受害者授权第三方应用程序访问其帐户。...范围范围定义为第三方应用程序请求的访问类型。大多数API资源将定义应用程序可以请求的一组范围。这与Android手机应用程序在安装时请求的权限类似。...访问令牌可以在设定的时间段内使用，从API资源访问用户的数据，而无需资源所有者采取任何进一步的行动。...攻击者可能会创建恶意应用程序，并使用获取的访问令牌通过API资源获取受害者的帐户数据。访问令牌不需要知道用户的密码，并能绕过双因素认证。...虽然任何允许OAuth应用程序的云环境都可以成为目标，但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序，捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API

2.5K2 0

钓鱼邮件“精准制导”升级：Outlook与Gmail成重灾区，企业身份防线告急

一旦窃取成功，攻击者不仅能读取商业机密、客户数据，还能以内部员工身份发起BEC（商务邮件欺诈），诱导财务转账，甚至横向渗透整个IT环境。在这场攻防不对称的较量中，中国企业的处境尤为微妙。...页面不仅复刻了Microsoft 365登录界面，还动态显示受害者的真实姓名、部门甚至最近登录设备型号——这些信息来自此前泄露的数据或公开API。...一旦同意，攻击者即获得访问用户邮箱、日历、联系人的API权限，且该令牌长期有效，难以察觉。...建立快速响应机制一键冻结账户：SOC接到报告后5分钟内禁用账号；会话吊销：通过Microsoft Graph API或Google Admin SDK，立即终止所有活跃会话；# Microsoft Graph...在这场没有硝烟的战争里，每一个点击，都可能是防线的起点，也可能是溃败的开端。而选择权，始终在我们手中。编辑：芦笛（公共互联网反网络钓鱼工作组）

2511 0

.NET开源OpenID和OAuth解决方案Thinktecture IdentityServer

API 访问应用程序有两种基本方式 —— 使用应用程序的标识，或委派用户的身份与API进行沟通。有时这两种方法必须相结合。...OAuth2 是允许应用程序从安全令牌服务请求访问令牌并使用它们与Api通信的一个协议。它减少了客户端应用程序，以及 Api 的复杂性，因为可以进行集中身份验证和授权。...IdentityServer 的安全模型基于两个基本原语：客户端和作用域：客户端客户端是请求访问IdentityServer或身份令牌的软件。...你可以如范围被称为"日历"为您创建日历 API — — 或"calendar.readonly"如果你想要将您的日历的 API 分割成子"地区"-在这种情况下只读访问权限。...如果允许，此作用域将会包括作为访问令牌中的索赔与客户端然后可以请求如"日历"范围-的标记。然后可以确定范围是目前验证的访问令牌时日历 API （或资源）。

2.3K9 0

MIT和OAuth协议的意义和区别

API实现通过LICENSE文件声明核心组件访问令牌、授权服务器、资源服务器版权声明、许可条款主要约束授权范围、令牌有效期保留版权声明典型应用社交登录、API访问控制开源项目发布、...工作原理 OAuth的核心是"委托授权"机制：用户想让应用A访问其在服务B上的数据应用A将用户重定向到服务B的授权服务器用户在服务B上登录并授权应用A的访问权限服务B返回授权码给应用A 应用A...用授权码换取访问令牌应用A使用访问令牌访问服务B的API 应用场景社交登录：使用微信/Google/Facebook账号登录第三方应用 API访问授权：如第三方应用访问用户的Google Drive...文件微服务间授权：在微服务架构中服务间安全调用单点登录(SSO)：企业级应用集成特点关注授权而非认证：OAuth解决的是"授权"问题，不是"认证"问题（尽管常被用于认证）令牌机制：使用短期有效的访问令牌...，而非长期有效的密码多种授权模式：支持授权码模式、隐式模式、客户端凭证模式、密码模式等范围控制：可精确控制第三方应用的访问权限范围(scope) 3.

1771 0

点击加载更多

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

凭证窃取主导下的现代网络攻击链演化与防御体系构建

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

Barracuda预警：高级OAuth钓鱼正悄然接管你的企业账号

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

高级OAuth钓鱼攻击的演化机制与防御体系构建

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

网络钓鱼对金融行业安全的威胁机制与防御体系构建

开源也能防钓鱼？CyberDrain推免费工具帮中小企业守住Microsoft 365大门

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

基于OAuth滥用的定向钓鱼攻击与防御机制研究

还原Facebook数据泄漏事件始末，用户信息到底是如何被第三方获取的？

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

FireEye发布了检测 SolarWinds的审计工具

PwnAuth——一个可以揭露OAuth滥用的利器

钓鱼邮件“精准制导”升级：Outlook与Gmail成重灾区，企业身份防线告急

.NET开源OpenID和OAuth解决方案Thinktecture IdentityServer

MIT和OAuth协议的意义和区别

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐