是否可以使用Microsoft图形API获取用户/邮箱类型？ - 腾讯云开发者社区

文章/答案/技术大牛

发布

Microsoft Forms未授权获取他人邮箱信息的漏洞分析

本文讲述了关于微软在线调查创建应用Microsoft forms的一个漏洞，通过其中的数据分享机制，作者可以藉机获取到参与调查用户的邮箱信息，漏洞最终收获了$2k的奖励。...OData支持好几种数据请求方式，例如可以使用以下$select语法去请求受限的实体属性，它会去获取ID=2的顾客email信息： customerApi/Customers(2)?...当然除了select外，还可以使用其它的查询语法，如JSON或XML格式的数据导出format等。...我想Microsoft Forms用户可以把他的调查数据分享给别人进行帮忙调查，那么我是否可以从这个方面来考虑考虑呢。...也即服务端不允许我访问createdBy属性或是其他用户的表单邮箱信息。但我又想到了另外一种方法：”是否有另一个实体有createdBy属性？

2.2K2 0

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

其标准流程如下：用户在受限设备上请求访问资源（如OneDrive）；设备向授权服务器（如Azure AD）发起请求，获取一个设备代码（device_code）和用户验证码（user_code）；用户被引导至...# 攻击者侧：使用Microsoft Graph API发起设备代码请求（简化示例）import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...邮件安全网关：钓鱼邮件来自真实邮箱，内容无恶意附件或链接（指向的是微软官方域名），难以拦截；MFA：用户确实在微软官网完成了交互式登录，MFA已通过；SIEM/SOAR：后续的API调用（如读取邮件）来自微软数据中心...培训应聚焦：任何要求“输入代码到微软登录页”的请求都需高度警惕；即使链接是 microsoft.com，也可能被用于授权恶意应用；授权前务必确认应用名称是否可信（如“Microsoft Teams” vs...而对于普通组织而言，能否及时关闭一个看似无害的“设备代码流”，或许就决定了是否会被国家级黑客悄然潜伏数月而不自知。结语当安娜发现自己的邮箱被用来向同事发送“机密会议纪要”时，已是三个月后。

1791 0

您找到你想要的搜索结果了吗？

是的

没有找到

ASP.NET 中验证的自定义返回和统一社会信用代码的内置验证实现

下面我们来实际使用一下：项目演示创建项目首先我们创建一个 ASP.NET Core Web API 项目，记得不要使用最小 API，因为最小 API 没有对验证的内置支持，参见《最小 API 与具有控制器的...创建项目创建用户注册信息接收类接着我们创建一个 OrgRegInfo 类，用于接收用户的注册信息，并把基本验证规则通过内置验证功能进行声明。更多内置特性和使用可参考官方文档《模型验证》[2]。...orgphone { get; set; } } 创建测试 Controller 在Controllers文件夹下新建一个 HomeController.cs，内容如下，该方法可以通过 POST 方法获取到我们的输入...，简单的验证我们的前面的声明是否有效，如果有效则返回我们的输入信息。...与具有控制器的 API 之间的差异》: https://learn.microsoft.com/zh-cn/aspnet/core/tutorials/min-web-api?

1.4K3 0

Office开发者计划-永久白嫖Office365

）自动续订自动续期 Office 365开发者订阅默认是90天有效期，到期须续期才可继续使用，微软会验证账户内是否应用了所提供的相关API应用、服务等以此来检测开发者身份 ...调用Office365 outlook邮箱接口、Azure Active Directory/Microsoft Identity账户登录接口、Microsoft Graph接口可参考的项目 1...a.Azure应用注册使用开发者账号（xxx@xxx.onmicrosoft.com）登录Microsoft Azure（或者直接进行Azure应用注册）应用注册注册应用填充名称、受支持的帐户类型...），随后点击配置待更新身份验证允许公共客户端流->点击切换按钮为是随后保存 API权限配置注册的应用程序API权限类型有两种，其主要区别如下表所示：权限类型委托的权限(用户登录...调用其API调用核心思路为创建一个authProvider用户凭据（根据实际身份验证的方式获取，不同渠道构建方式不同）构建GraphServiceClient客户端服务对象graphClient

11.4K3 2

“量子重定向”钓鱼风暴席卷全球：企业云邮箱成新猎场，MFA也挡不住的自动化攻击

更令人警惕的是，攻击者已不再满足于单纯获取账号密码。...当请求到达中枢服务器时，系统会检查以下特征：是否携带自动化工具标识（如webdriver、HeadlessChrome）User-Agent是否异常（如无图形界面的curl/wget）是否缺少常见浏览器...此外，攻击者还利用OAuth授权钓鱼（Consent Phishing）手段，诱导用户授予恶意应用“读取邮件”、“发送邮件”等权限。一旦同意，即使未泄露密码，攻击者也能通过合法API访问邮箱内容。...据IDC 2025年Q3报告显示，超过55%的中国中大型企业使用Microsoft 365作为核心办公平台，金融、法律、咨询、外贸等行业依赖度尤甚。其次，国内黑产生态正快速吸收国际先进技术。...# 通过Microsoft Graph API批量检查用户MFA方法GET https://graph.microsoft.com/beta/users?

1181 0

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

Proofpoint披露，该团伙在2025年11月的一次行动中，通过设备代码钓鱼获取某半导体公司工程师的邮箱权限，进而窃取未公开的芯片设计文档。...例如 LockBit 4.0 的附属团伙，在2025年12月针对一家北美制造企业发起攻击：通过钓鱼邮件诱导IT管理员扫码授权；获取Directory.Read.All权限，枚举全公司用户；使用User.Invite...API创建新账户；通过Exchange Online PowerShell执行邮箱导出；部署Cobalt Strike Beacon，最终投放勒索软件。...如今，两者使用相同工具、相同流程，归因变得模糊，导致防御策略滞后。“你无法再通过攻击手法判断对方是间谍还是劫匪。”芦笛坦言，“这迫使我们必须放弃‘按威胁类型防御’的思路，转向‘按风险行为防御’。”...（如非常规地理位置、高频API调用）；使用Microsoft Defender for Cloud Apps设置异常活动告警，如“单用户1小时内下载10GB OneDrive数据”。

1721 0

PwnAuth——一个可以揭露OAuth滥用的利器

服务器可以与API资源相同，或者是另一个不同的组件。在本例中，Microsoft登录门户是“授权服务器”。范围范围定义为第三方应用程序请求的访问类型。...OAuth 2.0提供了几种不同的授权“权限类型”，以适应用户及与之交互的不同应用程序。为了本文的目的，我们对“授权代码”权限类型感兴趣，该权限类型由实现OAuth的Web应用程序使用。...访问令牌可以在设定的时间段内使用，从API资源访问用户的数据，而无需资源所有者采取任何进一步的行动。...攻击者可能会创建恶意应用程序，并使用获取的访问令牌通过API资源获取受害者的帐户数据。访问令牌不需要知道用户的密码，并能绕过双因素认证。...虽然任何允许OAuth应用程序的云环境都可以成为目标，但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序，捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API

2.5K2 0

基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

尤其值得注意的是，攻击者引入了“收件人特定验证”机制，仅当输入目标用户的精确邮箱地址后，才触发后续恶意跳转，极大削弱了安全团队使用蜜罐账户或通用测试账号进行主动探测的有效性。...更关键的是，SharePoint支持动态生成临时共享链接，且可通过Microsoft Graph API进行程序化管理。...此举有效阻止安全研究人员使用非目标邮箱进行探测。3.3 伪造MFA交互用户提交邮箱后，被重定向至mfa.html，页面模拟微软标准的“发送验证码”流程：获取用户会话令牌，实现无密码持久化访问。四、检测模型构建针对上述攻击链，需建立多维度检测机制。...可通过Microsoft Defender for Cloud Apps或自建SIEM系统监控以下行为：非常规时间访问SharePoint HTML资源单一用户短时间内多次访问不同共享链接共享链接创建者与内容类型不匹配

2571 0

钓鱼攻击中窃取数据的流转路径与防御机制研究

随后按数据类型分类：类型A：高价值凭证（企业邮箱、云服务、银行账户）；类型B：中低价值凭证（社交媒体、电商、游戏账号）；类型C：纯个人信息（姓名、电话、地址），无直接登录能力。...分类依据包括域名后缀（如@company.com）、字段结构（是否含CVV、卡号）、以及是否触发自动验证模块（如成功登录测试API）。...5 防御机制设计与实践5.1 终端用户层面：打破密码复用链最根本的防御在于消除密码复用。建议用户使用密码管理器生成并存储唯一强密码。...此外，用户应定期检查自身是否出现在已知泄露库中。可通过HaveIBeenPwned等服务查询，一旦发现，立即重置相关密码。...Graph API 强制登出用户token = get_access_token() # 获取管理员令牌url = f"https://graph.microsoft.com/v1.0/users/{

1861 0

MSOLSpray：一款针对微软在线账号（AzureO365）的密码喷射与安全测试工具

支持检测的内容包括目标账号凭证是否有效、账号是否启用了MFA、租户账号是否存在、用户账号是否存在、账号是否被锁定或账号是否被禁用等情况。...而且，该工具能够跟FireProx完美搭配使用，支持在身份验证请求时轮换源IP地址，这样可以有效避免测试被Azure屏蔽或阻止。...切换到项目目录中，并运行工具脚本即可： cd MSOLSpray python3 MSOLSpray.py PowerShell版本针对MSOLSpray的PowerShell版本安装，广大研究人员可以直接使用下列命令获取项目源码...网关URL，则使用FireProx之类的代理工具随机轮转切换源IP地址https://login.microsoft.com 下列命令将使用提供的用户列表文件并尝试使用密码Winter2020对每个账号执行身份验证测试.../fireprox --out valid-users.txt PowerShell版本首先我们需要提前准备好一个包含目标电子邮箱地址（每一个地址单独一行）的userlist用户列表文件，然后使用“

5031 0

MICROSOFT EXCHANGE – 防止网络攻击

： Outlook Web 访问 (OWA) 交换网络服务 (EWS) Exchange ActiveSync (EAS) 所有这些服务都创建了一个攻击面，威胁参与者可以通过进行可能导致发现合法凭据、访问用户邮箱和执行域升级的攻击而受益...完全禁用 EWS 身份验证还将进行 NTLM 中继攻击，这些攻击将作为目标在不破解密码哈希的情况下获取对用户邮箱的访问权限。...这将导致威胁参与者利用 NTLM 中继作为一种技术来获取邮箱访问权限并执行恶意操作的尝试失败。...展望主页 Outlook 主页功能可用于注入将在用户系统上执行任意有效负载的页面。在浏览邮箱文件夹或重新启动 Microsoft Outlook 时将触发有效负载。...下表关联了威胁参与者滥用的功能，他们可以通过相关的 Microsoft 补丁和 CVE 编号实现什么。

5.9K1 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

尤其在Microsoft 365、Google Workspace等企业生产力平台中，OAuth被深度集成于单点登录（SSO）、API调用、跨应用数据共享等关键场景。...此类攻击具备高度隐蔽性：因全程使用标准OAuth流程，流量特征与正常业务无异；且一旦授权成功，攻击者可绕过MFA持续访问邮箱、日历、OneDrive等敏感资源，甚至利用被控账户横向扩散。...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...= {"Authorization": f"Bearer {token}"}# 列出用户邮箱文件夹resp = requests.get("https://graph.microsoft.com/v1.0...可使用Microsoft Graph PowerShell批量设置：# 禁止用户同意应用Set-MgPolicyAuthorizationPolicy -PermissionGrantPolicyId

2861 0

收集3：所有文件格式

Visual FoxPro数据库容器文件 DBF dBASE文件，一种由Ashton-Tate创建的格式，可以被ACT！...Bank（世界银行）的STARS数据文件 DTD SGML文档类型定义（DTD）文件 DTED 地面高度数字数据（图形的数据格式）文件 DTF Symantec Q&A相关的数据库数据文件 DTM...（copenhagen p_w_picpath processing system）使用这些文件 GRF Grapher（Golden Software公司）图形文件 GRP 程序管理组 GSM...Hellbender格式保存的游戏文件 HEX Macintosh BinHex2.0文件 HGL HP图形语言绘图文件 HH 映射文件，包括一些话题ID和在帮助文件系统中话题的映射数字—允许运行中应用程序发送给用户合适的上下文帮助话题...MB1 Apogee Monster Bash数据文件 MBOX Berkeley Unix邮箱格式 MBX Microsoft Outlook保存email格式；Eudora邮箱 MCC Dailerl0

2.3K1 0

使用Certify来自动申请并配置Let’s Encrypt免费SSL证书到IIS8

其证书已经被 Mozilla、Google、Microsoft 和 Apple 等主流浏览器支持，只需要 web 服务器配置好 HTTPS 证书，浏览器会在加载时验证 web 服务器 HTTPS 证书是否有效...Certify 是一个可以自动续订 Let’s Encrypt 颁发证书的第三方 GUI 软件（图形界面工具），使用它可以自动配置、创建和自动续订证书，并且到快要续订的时候会自动发邮件通知我们。...第一次启动程序时会弹出对话框让我们填写个邮箱地址，等证书快要过期的时候我们会收到续订证书的提醒邮件。这里我们填上常用的 email 地址，注意这里不认QQ的数字前缀邮箱。...保存后点击“请求证书”按钮获取证书。在申请的同时，Certify 会在网站根目录下生成 .well-known 文件夹（我们可以稍后把这个目录给删掉，以保持网站目录干净。）...待其执行完毕后，返回 Certify 的首页面可以看到站站点已经成功使用了 Let’s Encrypt 的证书了。 ? 有一点需要注意，免费版的Certify只支持5个站点。 ?

3.3K3 0

服务器的常见六种业务部署类型，千字长文介绍！

服务器一般都有哪些部署类型可以选择呢？今天阿祥就列举常见的六种供一些需要了解的朋友了解，从核心定义和功能、再到典型应用、常见软件介绍，希望能给需要的朋友带来帮助！...存储管理：集中存储用户邮箱数据，支持多设备同步（IMAP）。安全过滤：集成反垃圾邮件引擎、SSL/TLS 加密传输，防范钓鱼攻击。...Microsoft Exchange：企业级解决方案，集成日历、联系人管理。 Dovecot：专注 IMAP/POP3 协议的高性能接收服务。...典型应用网站域名解析（用户访问入口）内网服务发现（如 Kubernetes DNS）邮件服务器寻址（MX 记录解析）常见软件 BIND：最广泛使用的开源 DNS 软件，支持高级配置。...FileZilla Server：跨平台，图形化管理界面。 ProFTPD：模块化设计，类似 Apache 配置风格。

6031 0

CodeSpirit CRUD开发完整指南

long作为主键类型 • 包含关联关系的导航属性（部门、用户账号） • 支持软删除（IsDeleted字段） 2....宽度、是否固定等属性查询字段特性： • 查询DTO中的字段可以使用表单特性（如AmisInputTreeField、AmisSelectField等）来配置查询表单的显示 • 支持多条件组合查询，提升查询灵活性...• 枚举类型字段会自动生成下拉选择组件 • 日期类型字段可以使用AmisDateFieldAttribute配置日期范围选择 3....ModelSnapshot.cs文件 • 这样可以确保不同数据库类型的迁移文件互不干扰功能特性通过以上步骤，您已经完成了一个完整的CRUD功能开发。...路径说明查询列表 GET /api/identity/Employees 支持多条件查询和关键字搜索查询详情 GET /api/identity/Employees/{id} 根据ID获取单个职工

1091 0

ConsentFix浮出水面：当“同意”成为攻击入口，你的邮箱早已不是你的邮箱

除非管理员手动撤销，否则即使用户更改密码、登出所有设备，攻击者仍可通过刷新令牌持续获取新访问令牌。微软文档明确指出：密码重置不会使 OAuth 令牌失效。...该扩展申请了“读取和修改所有网站数据”权限，实则监控用户是否访问 Microsoft 365。一旦检测到登录，立即弹出伪造的“安全扫描”窗口，诱导用户粘贴令牌 URL。...Legacy Scopes：宽松权限的“时间胶囊”在 Microsoft Entra ID（原 Azure AD）中，OAuth 权限分为两种类型：Delegated Permissions（委派权限）...对企业而言，是时候重新审视身份基础设施了——你的 IAM（身份与访问管理）系统，是否能回答这三个问题：谁在何时授予了什么应用哪些权限？这些权限是否仍在使用？...答案若是否定的，那么你的邮箱，可能早已不是你的邮箱。编辑：芦笛（公共互联网反网络钓鱼工作组）

1481 0

针对exchange的攻击方式

GAL GAL即全局地址表（global address list）记录了域中用户的基本信息与其邮箱地址，以形成域用户与邮箱用户之间的关联。在渗透中可以通过GAL来获取所有邮箱地址。...Outlook中邮箱的相关设置，简化用户登陆使用邮箱的流程。...,简化用户登录使用邮箱的流程。...exchange用户以后，可以对邮件列表进行检索获取敏感信息，方便下一步渗透 MailSniper 可以完成这个任务，但是这个工具感觉被杀的比较严重，可以试着修改一下函数名变量名啥的免免杀。...exchange下，用户的邮件一般存放于””收件箱””文件夹，而对于英文则是”inbox” 获取全局地址表依旧通过MailSniper 实现，在我们获得一个合法用户的凭据以后，就可以通过获取全局地址表来获取所有邮箱地址

5.1K2 0

构建企业级监控平台系列（七）：Zabbix 基础配置介绍

使用模版模版中的可以组监控，模版中可以继承其他模版。网络发现网络设备的自动发现，代理（agent）自动注册，自动发现文件系统，网络接口，SNMP OID。...Zabbix API Zabbix API 提供可编程接口面向Zabbix大规模操作，方便第三方软件集成，安全的用户认证。权限系统某些用户可以受限于某些试图。...zabbix邮件报警（1）配置--动作--启用report--应用（2）右上角小人（用户）--报警媒介--添加--收件人邮箱地址（推荐使用qq邮箱）（3）管理--报警媒介类型--email--添加...(打开邮箱--设置--开启smtp服务--获取授权码--保存配置) （4）微信关联qq邮箱，实现微信报警首先点击进入微信“设置”选项。...}”，添加：右上角--小人（用户）--报警媒介--“类型（邮件脚本，收件人：真实邮箱地址）”，添加--更新。

3.5K3 1

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

此类攻击的核心在于“信任传递”：第一跳使用微软官方域名，确保邮件顺利投递；第二跳则隐藏于用户交互之后，逃避静态URL扫描。...login.microsoftonline.com', 'https://account.live.com')):print(f"[ALERT] Suspicious embedded link: {link}")2.4 横向扩散阶段：自动化邮箱遍历一旦获取有效会话...即使用户被诱导至仿冒页面，浏览器不会提示签名，攻击者无法获取有效凭证。更重要的是，无密码认证不产生可被代理复用的会话Cookie，从根本上消除AiTM的攻击面。...因此，检测重心必须前移至“会话建立后的连续性”：用户从OneDrive共享页面跳转至登录页的行为是否符合常规路径？登录后首次访问的应用是否为Outlook而非原共享文档？...会话的User-Agent、IP、地理位置是否与共享创建者一致？通过构建会话图谱（Session Graph），将文件访问、登录、API调用等事件关联，可有效识别异常跳转链。

3291 0

点击加载更多

Microsoft Forms未授权获取他人邮箱信息的漏洞分析

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

ASP.NET 中验证的自定义返回和统一社会信用代码的内置验证实现

Office开发者计划-永久白嫖Office365

“量子重定向”钓鱼风暴席卷全球：企业云邮箱成新猎场，MFA也挡不住的自动化攻击

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

PwnAuth——一个可以揭露OAuth滥用的利器

基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

钓鱼攻击中窃取数据的流转路径与防御机制研究

MSOLSpray：一款针对微软在线账号（AzureO365）的密码喷射与安全测试工具

MICROSOFT EXCHANGE – 防止网络攻击

高级OAuth钓鱼攻击的演化机制与防御体系构建

收集3：所有文件格式

使用Certify来自动申请并配置Let’s Encrypt免费SSL证书到IIS8

服务器的常见六种业务部署类型，千字长文介绍！

CodeSpirit CRUD开发完整指南

ConsentFix浮出水面：当“同意”成为攻击入口，你的邮箱早已不是你的邮箱

针对exchange的攻击方式

构建企业级监控平台系列（七）：Zabbix 基础配置介绍

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐