文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

该流程允许用户在另一台具备浏览器的设备上完成授权,从而获取访问令牌。...攻击者通过伪造IT部门通知、安全警报或软件更新提示,诱使用户访问看似合法的指令页面,并要求其在https://microsoft.com/devicelogin 输入一串六位字母数字组合的设备代码。...Graph API,读取邮件、日历、联系人,甚至创建新应用或修改权限。...此外,即使组织启用了MFA,由于授权发生在合法会话中,MFA反而成为攻击成功的“助推器”。3.2 实验环境搭建与代码复现为验证攻击可行性,我们在受控环境中搭建测试平台。...随后,攻击者可使用该令牌调用Graph API:# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json

23510

他来了!她来了!CodeBuddy IDE 首发!首批限时内测开启,速来尝鲜!

此时我们觉得内容已经够详细了,就可以直接点击【Send】来发起对话了,这时会弹出弹框询问你是否信任当前文件夹的操作,选择【Yes】那么CodeBuddy 在接收到我们的需求之后,会基于我们的需求内容设计一个完整的解决方案...会自动调用node.js 命令部署本地页面,并生成预览页面供我们体验我们也可以直接在本地浏览器输入node.js 部署后生成的会议室预约系统设计稿页面,在浏览器中输入:http://localhost...在AI 对话框中输入我们的需求【按照上述接口生成接口文档】可以看到,CodeBuddy IDE 会根据上面分析生成的API 接口内容编写接口文档 meeting-room-api-docs.md 文件...最后总结对于本次CodeBuddy IDE 的内测体验,在操作界面展示上,和我们日常使用开发工具的布局并没有什么大的差异,比如:VSCode 、IntelliJ IDEA、PyCharm等,这样有点好处就是...在功能上,又比我们现在使用的CodeBuddy IDE 插件更强大,对于插件版本的CodeBuddy ,我们日常工作中主要是辅助代码功能开发。

2.9K182
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    ConsentFix攻击机制与OAuth授权滥用的防御对策研究

    2025年12月,安全公司Push Security披露了一种名为“ConsentFix”的新型钓鱼攻击手法,该手法在既有“ClickFix”社会工程策略基础上,聚焦于滥用OAuth授权流程,绕过传统端点防护与密码保护机制...攻击者通过伪造合法服务(如Cloudflare验证页或微软账户修复向导),引导用户在浏览器中完成看似无害的操作——复制粘贴一个URL或点击“同意”按钮,实则触发OAuth授权请求,将访问令牌(access...;无端点行为:全程在浏览器内完成,不触发EDR规则;权限滥用而非越权:所用权限均为用户主动授予,不违反最小权限原则的技术定义;第一方应用伪装:部分变种注册为“Azure CLI”等微软官方工具的仿冒应用...(二)策略管理层:建立授权生命周期管理定期授权审计:每季度导出全组织应用授权清单,清理未使用或来源不明的应用;实施最小权限原则:推动业务部门使用权限更细的现代API(如Microsoft Graph的delegated...permissions with scopes);自动化撤销机制:当检测到可疑活动时,自动调用Microsoft Graph API撤销相关应用授权:# 使用Microsoft Graph API撤销用户授权

    19110

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    用户点击链接后,跳转至 完全真实的微软登录页面(域名:login.microsoftonline.com)。页面提示:“在另一台设备上使用此代码登录”,并要求输入代码。一切看起来合规、安全、无可挑剔。...关键就在这里:用户以为自己是在“验证自己的设备”,实际上是在为攻击者的恶意应用授权。“设备代码流程本意是方便智能电视、打印机等无浏览器设备登录云服务。”...授权完成后,攻击者的服务器立即通过 OAuth 2.0 的 /token 端点兑换访问令牌和刷新令牌(Refresh Token),从而获得对受害者邮箱、日历、文件等资源的长期访问权——全程无需知道密码...问题在于:步骤4中的授权页面由微软官方提供,用户无法分辨背后的应用是否可信。“普通用户看到的是微软的 UI,但授权的对象却是攻击者注册的 OAuth 应用。”...事实上,Google 已在其 OAuth 流程中引入更严格的审查机制,对高风险应用进行人工审核。而 Microsoft 目前仍以“自助注册”为主,门槛极低。“开放生态需要护栏,而不是放任。”

    30410

    高级OAuth钓鱼攻击的演化机制与防御体系构建

    摘要近年来,随着基于OAuth 2.0协议的身份联合与授权机制在企业级应用中的广泛部署,攻击者逐步将目标从传统凭证窃取转向对授权流程本身的滥用。...尤其在Microsoft 365、Google Workspace等企业生产力平台中,OAuth被深度集成于单点登录(SSO)、API调用、跨应用数据共享等关键场景。...其标准流程如下:用户访问第三方应用(Client);Client重定向用户至授权服务器(如Microsoft Entra ID)的授权端点,携带client_id、redirect_uri、scope等参数...;用户在授权服务器页面登录并同意权限请求;授权服务器生成授权码(Authorization Code),通过重定向返回至Client指定的redirect_uri;Client使用授权码、client_secret...向令牌端点换取访问令牌与刷新令牌;Client使用访问令牌调用受保护资源(如Microsoft Graph API)。

    28610

    推荐一个企业级知识图谱增强的检索增强生成(RAG)的项目

    (LLM)在企业应用中的问答和生成效果。...使用 Microsoft Graph API 来安全、高效地访问这些数据。 数据连接器需要处理各种数据格式和结构,并将其转换为统一的中间表示形式。...部署方式 GraphRAG 的部署方式灵活多样,可以根据实际需求选择不同的部署方案。常见的部署 本地部署: 将 GraphRAG 的所有组件部署在本地服务器上。...适用于需要高可用性和可扩展性的场景。 可以利用云平台的各种服务来简化部署和管理。 混合部署: 将 GraphRAG 的部分组件部署在本地服务器上,另一部分组件部署在云平台上。...配置数据连接器: 根据实际数据源配置数据连接器,包括 Microsoft Graph API 的访问权限、数据源的连接信息等。

    1.6K10

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中,第三方应用若需访问用户资源(如邮件、日历),必须通过OAuth 2.0授权码流程获取权限。...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...官方图标;重定向URI:指向攻击者控制的服务器(用于接收授权码);API权限:请求高危权限组合,例如:["Mail.Read","MailboxSettings.ReadWrite","User.ReadWrite.All...5 实验验证在测试租户中模拟攻击流程:注册假冒应用,请求Mail.Read + offline_access;使用普通用户账户完成同意;通过脚本每小时读取100封邮件,持续72小时。

    24310

    Jmeter(四十) - 从入门到精通进阶篇 - Jmeter配置文件的刨根问底 - 中篇(详解教程)

    听宏哥的大胆修改大不了再重新安装一个新的Jmeter,或者你有做备份的好习惯,在修改前备份好以后大胆修改,修改错了直接使用备份文件恢复过来就可以。...您可以在 ## ## http://www.apache.org/licenses/LICENSE-2.0 ## ## 除非适用法律要求或书面同意,软件 ## 根据在“AS IS”BASIS上分发的许可证基础上发布的...# 默认日期格式 (来自 Java API 和 Locale.ENGLISH 的日期格式) #jmeter.reportgenerator.date_format=yyyyMMddHHmmss # 日期范围开始日期使用...$ (十)第14段——指示是否仅在支持该控制器的图形上显示控制器示例 (1)原文 # Indicates whether only controller samples are displayed on...#jmeter.reportgenerator.exporter.html.show_controllers_only=false (2)译文 # 指示是否仅在支持该控制器的图形上显示控制器示例。

    2.5K41

    Office开发者计划-永久白嫖Office365

    安装并激活Microsoft365 ​ 方式1:可点击上述仪表盘中的转到订阅,随后使用刚刚生成的管理员账号登录,进入页面则可下载需要的内容 ​ 方式2:使用Office Tool Plus...Graph接口 可参考的项目 1.E5自动续期项目 ​ E5自动续期项目是Github上@luoye663开发的一个在线续期项目,它搭建在作者的服务器上,需要根据教程配置应用的api和key...(即客户端密码) b.API调用工具 ​ Microsoft Graph 浏览器是一种基于 Web 的工具,可用于生成和测试对 Microsoft Graph API 的请求 ​ API需要的权限设定可在预览卡中查阅...,授权后则可再次尝试调用响应 ​ Postman 是一个可用于向 Microsoft Graph API 发出请求的工具:Postman&Microsoft Graph API使用 ​...c.Microsoft Graph 快速入门示例 ​ Microsoft Graph入门: a.选择语言或平台 b.获取应用 ID(客户端 ID) c.生成示例 d.登录,然后查看日历上的事件 PHP

    11.4K32

    设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

    摘要近年来,设备代码钓鱼(Device Code Phishing)作为一种绕过多因素认证(MFA)的高级社会工程手段,在Microsoft 365环境中迅速扩散。...如https://microsoft.com/devicelogin),输入user_code;授权服务器验证用户身份(通常包括MFA)后,将授权授予客户端;客户端通过轮询使用device_code换取访问令牌...例如,UNK_AcademicFlare与某勒索软件团伙在2025年9月的攻击中,均使用名为“SecureAuth Helper”的伪装应用,请求相同权限集,仅在后续数据外泄方式上存在差异。...留空(设备授权无需回调)API权限:勾选Microsoft Graph的Delegated权限,如:Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...建议:为高管、IT、财务人员强制启用FIDO2;在条件访问策略中要求高风险操作必须使用无密码认证。

    22110

    2022 1月Github热门项目

    那么为什么不构建直接在 VS Code 中运行的东西呢? Front Matter 是一个在 VS Code 中运行的 CMS。...RxDB 提供了用于与任何符合 CouchDB 的端点或自定义 GraphQL 端点进行实时复制的模块。 最新版本专注于提高应用程序的性能,尤其是在处理大量文档时。...d3-graph-controller 2.0 项目地址:https://github.com/DerYeger/d3-graph-controller 我们在 Release Radar 上展示了许多...作为在浏览器中运行的应用程序,AnotherPomodoro 将其提升到了一个新的水平。 借助集成的 TODO 列表、多种颜色、自定义计时器长度、三种语言和许多显示功能,您再也不会迷失在看猫视频。...但不是你所知道的 Wordle。 这是 Hello Wordl,一种让您随心所欲地玩 Wordl 的方式。 您可以在 4 到 11 个字母之间进行选择,并且可以更改难度设置。

    1.5K30

    PowerBI 实现超多系列对比分析 - 上篇 - 效果分析

    /desktop-high-density-sampling 以下限制适用于任何给定的视觉对象: 无论有多少个基础数据点或系列,大多数视觉对象上最多可显示 3500 个数据点(请参阅以下项目符号列表中的例外情况...一个视觉对象最多可以有 60 个系列。如果有超过 60 个系列,则拆分数据并创建多个视觉对象,使每个视觉对象拥有少于或等于 60 个系列。使用切片器来只显示数据段是个好方法(仅适用于特定系列)。...例如,如果要在图例中显示所有子类别,则可以使用切片器根据同一报表页上的整体类别进行筛选。 也就是说,如果显示系列的话,最多只能显示 60 个系列,这对应于 60 个图例。...可以看出: 在右侧如果不加入日期作为坐标轴,就可以最多显示 60 个系列;而在左侧,由于加入了坐标轴,系列被截断了,只保留了大概 13 个系列。...这不仅仅修复了 Power BI 的 BUG,还最终实现了: 多达 60 个系列的同时显示 端点处的数字显示 颜色的对齐 总结 多系列分析在现实中有很多用处,我们将在下篇讨论其 DAX 的实现以及现实案例

    1.7K21

    VoidProxy平台对多因素认证的绕过机制与防御对策研究

    ,即使用户登出仍有效;Access Token:短期有效(通常1小时),但可用于调用Microsoft Graph API。...例如,若受害者通常使用Windows 11 + Chrome 124访问Office 365,攻击者将配置代理以相同特征发起API请求,使登录活动在审计日志中呈现为“正常行为”。...(三)浏览器内令牌绑定(DPoP)推动SaaS供应商支持OAuth 2.0 DPoP规范。DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌,该私钥与TLS连接绑定。...指标包括:登录IP是否在历史地理围栏外;User-Agent是否与设备注册信息一致;是否在短时间内访问大量敏感资源(如/me/drive/root:/Board/)。...IdP与SaaS中的落地;自动化响应闭环:将威胁情报、UEBA与API控制联动,实现“检测-响应-修复”一体化。

    24510

    GraphRAG:终极 RAG 引擎 - 语义搜索、嵌入、矢量搜索等等!

    除了用于问答,RAG还可以用于很多自然语言处理任务,例如从文本中提取信息、推荐、情感分析和摘要,这些都可以在私有本地存储中完成。那么,GraphRAG和传统的基准RAG系统有何不同呢?...接着输入cd graph rag进入目录,并输入export graph rag_API_key填入你的API密钥。 你需要创建一个输入文件夹以存放所有文件或文档。...你还可以在.env文件中粘贴你的API密钥,如果使用其他模型,可以在此处进行配置。配置完成后,保存文件并运行代码。 最后,运行以下命令以启动对话:python -m graph rag query。...这样就可以在本地访问和使用RAG系统。我强烈推荐使用Ollama,它易于设置,只需设置端点即可。 下面提供官方的文档介绍、相关资源、部署教程等,进一步支撑你的行动,以提升本文的帮助力。...提示调优 为了使 GraphRAG 在使用您的数据时达到最佳效果,我们强烈建议按照文档中的 提示调优指南 进行调整。

    2.5K10

    .NET 8 中的调试增强功能

    您可以在您选择的 IDE 中设置断点,启动已经附加上调试器的程序,逐步执行代码并查看 .NET 应用程序的状态。 在 .NET 8 中,我们致力于改善 .NET 应用中常用类型的调试体验。...更新后的 WebApplication 会显示重要信息,例如 IDE 调试器中配置的端点、中间件和 IConfiguration 值。...控制器、视图和 Razor Pages 在 .NET 8 中的调试获得了改进。 在调试这些框架时,我们发现了很多额外的信息。众多的类型让人感觉很混乱。...例如,API 上的 [Authorize] 属性保存为端点元数据,然后 AuthorizationMiddleware 在处理请求时使用它。 在 .NET 8 中,调试文本已经添加到公共元数据中。...它显示了为性能而设计的难以理解的数据结构。 在 .NET 8 中,可以更容易地了解是否启用了日志记录以及配置了哪些日志记录提供程序。

    1K20

    Microsoft REST API指南

    一致性的好处在于可以不断地积累合理的规范;一致性使团队拥有统一的代码、模式、文档风格和设计策略。 这些准则旨在达成如下目标: 为Microsoft技术平台所有API端点定义一致的实现和体验。...允许Service开发者利用其他Service的基础上来开发一致的REST API端点。 允许合作伙伴(例如,非Micosoft团队)使用这些准则来设计自己的 REST API。...服务指南 服务必须至少: 了解浏览器在跨域请求上发送的Origin请求标头,以及他们在检查访问权限的预检OPTIONS 请求上发送的 Access-Control-Request-Method请求标头。...服务器驱动的分页:通过在多个响应有效载荷上强制分页请求来减轻拒绝服务攻击。 客户端驱动的分页:允许客户机只请求它在给定时间可以使用的资源数量。...可能已过滤的列表根据排序条件进行排序。 分页。经过筛选和排序的列表上显示了实现分页视图。这适用于服务器驱动的分页和客户端驱动的分页。 10.

    6.2K11

    钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究

    传统上,攻击者主要通过未修补的远程代码执行(RCE)漏洞(如ProxyLogon、Log4Shell)或暴力破解弱密码进入内网。然而,随着端点防护与补丁管理的普及,此类入口的成本与失败率显著上升。...由于整个认证过程在微软服务器上真实发生,MFA完全生效,但其保护对象是攻击者的代理,而非最终用户。因此,MFA在此场景下形同虚设。...3 现有MFA机制的脆弱性分析3.1 常见MFA类型及其局限MFA类型 是否可被AitM绕过 原因短信/语音OTP 是 OTP在认证时被代理提交TOTP(如Google Authenticator) 是...以下Python脚本模拟检测异常会话(基于Microsoft Graph API):import requestsfrom datetime import datetime, timedeltaGRAPH_API_TOKEN...应:禁用浏览器扩展自动安装;部署应用白名单;监控设备上的信息窃取木马(Infostealer)活动。

    29410
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券