有没有办法在MS Graph API的认证过程中获得用户的唯一身份？ - 腾讯云开发者社区

文章/答案/技术大牛

发布

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

你有没有收到过这样的邮件？“您的 Microsoft 账户需要立即完成安全验证。请访问 https://aka.ms/devicelogin，输入以下代码：**ABCD-EFGH**。”.../.default服务器返回 device_code 和 user_code（即用户看到的 ABCD-EFGH）；用户在另一台设备访问 https://aka.ms/devicelogin，输入 user_code...芦笛强调，“区别只在于：用户以为自己在授权‘安全扫描工具’，实际授权的是‘数据窃取机器人’。”三、防御盲区：为什么MFA也挡不住？多因素认证（MFA）曾被视为钓鱼防御的“金钟罩”。...原因很简单：MFA 验证的是“用户身份”，而非“授权对象”。当用户在微软官网完成 MFA 验证后，系统认为“这是本人操作”，于是放心地将权限授予请求的应用。...五、行业反思：便利与安全的天平该如何摆？设备代码钓鱼的流行，暴露出一个深层矛盾：现代身份协议在追求用户体验的同时，是否牺牲了安全可见性？

3211 0

钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究

（MFA），通过窃取会话Cookie实现用户身份冒用。...验证码）实时转发至真实的login.microsoftonline.com；微软服务器完成完整认证流程，返回包含有效会话Cookie（如.AspNet.Cookies、x-ms-gateway-sso）...由于整个认证过程在微软服务器上真实发生，MFA完全生效，但其保护对象是攻击者的代理，而非最终用户。因此，MFA在此场景下形同虚设。...以下Python脚本模拟检测异常会话（基于Microsoft Graph API）：import requestsfrom datetime import datetime, timedeltaGRAPH_API_TOKEN...$filter=userPrincipalName eq '{user_id}'&$top=10"headers = {"Authorization": f"Bearer {GRAPH_API_TOKEN

2971 0

您找到你想要的搜索结果了吗？

是的

没有找到

凭证窃取主导下的现代网络攻击链演化与防御体系构建

本文基于上述威胁演进特征，系统剖析现代攻击链中“身份即入口”的战术逻辑，结合云环境中的典型攻击路径，提出以零信任原则为基础、融合FIDO/WebAuthn无密码认证、条件访问策略、用户行为分析（UBA）...此类攻击模式的成功，暴露出当前身份管理体系的多重脆弱性：弱密码策略、缺乏多因素认证（MFA）覆盖、OAuth授权过度宽泛、会话令牌生命周期管理缺失等。...此过程中，攻击者无需部署恶意软件，全程利用合法API调用，规避传统EDR检测。思科报告显示，73%的勒索事件中，攻击者在获得凭证后4小时内完成数据加密或外传。...本文提出的四层防御体系——以无密码认证消除攻击面、以行为分析实现精准检测、以自动化响应压缩攻击窗口、以管理流程固化安全文化——构成了面向身份面的纵深防御闭环。...未来，随着Passkey（FIDO2消费级实现）的普及与AI驱动的自适应认证发展，身份安全有望从“被动防御”迈向“主动免疫”。

2561 0

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

该链接表面指向一个常规文档，实则加载伪装成Microsoft 365登录界面的钓鱼页面，并在用户输入凭证后实时中继多因素认证（MFA）请求，实现凭证与会话令牌的双重窃取。...当用户输入用户名和密码后，前端脚本立即将凭证通过HTTPS POST发送至攻击者控制的C2服务器，同时在后台向真正的login.microsoftonline.com发起认证请求，并将MFA挑战（如推送通知或验证码...搜索并下载敏感文档：利用Graph API遍历OneDrive与SharePoint中的文件夹，下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...（一）强制FIDO2 + 设备绑定摒弃基于短信或推送通知的MFA，全面推行FIDO2安全密钥（如YubiKey）作为唯一认证因子。FIDO2基于公钥加密，私钥永不离开设备，从根本上杜绝凭证中继风险。...其中，高管不应被视为“高权限用户”，而应被定义为“高风险身份主体”，适用更严格的访问控制与监控策略。

2331 0

数字身份的通行证：深入解析单点登录（SSO）的架构与艺术

单点登录，是一种身份认证机制，它允许用户在一次登录后，获得访问多个相互信任的应用系统的权限，而无需再次输入凭据。...重定向认证：应用 A 发现用户未登录，将其重定向至统一的 SSO 认证中心。身份认证：用户在认证中心完成用户名和密码的验证。...Token 安全：强制 HTTPS：防止 Token 在传输过程中被窃听或篡改。生命周期管理：设置合理的有效期，并使用 Refresh Token 机制，兼顾安全与体验。...防止重放攻击：引入 nonce（随机数）和 timestamp（时间戳），确保请求的唯一性和时效性。单点登出：用户在 IdP 登出时，必须主动通知所有已登录的应用，使其本地会话失效。...总结单点登录远不止是一项技术，它更是一种构建现代数字身份体系的架构思想。它通过建立信任、统一入口、集中管控，在提升用户体验和强化安全之间找到了绝佳的平衡点。

8182 1

Api数据接口之安全验证

一般的做法是使用身份验证和访问控制的方法来确保数据接口的安全性。下面是一些常用的做法： 1、API密钥认证：为每个用户或应用程序颁发唯一的API密钥，用于标识和验证其身份。...在每次API请求中，将API密钥作为参数或者请求头发送给服务器进行验证。 2、OAuth认证：OAuth是一种开放标准的身份验证协议，用于允许用户授权第三方应用程序访问其受保护的资源。...用户通过授权服务器颁发的令牌来访问API，而不直接提供用户名和密码。 3、HTTPS加密：使用HTTPS协议来传输API请求和响应数据，确保数据在传输过程中的机密性和完整性。...下面是一种常见的签名方案： 1、生成API密钥：为每个用户或应用程序生成唯一的API密钥，并保存在安全的地方。...另外，为了增加安全性，建议使用HTTPS协议进行请求和响应的传输，确保通信过程中的机密性和数据完整性我有个大胆的想法小伙伴在平常有没有遇到以下这种情况：遇到技术难题时，网上教程一堆堆，优秀的很多，但也有很多是过时的

1.4K1 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...在此基础上，提出一套覆盖身份治理、条件访问、应用审计与用户教育的纵深防御体系，并给出关键策略配置与监控代码示例。...关键词：OAuth 同意滥用；假冒微软应用；Entra ID；多因素认证绕过；Graph API；条件访问1 引言多因素认证（MFA）作为现代身份安全的核心防线，已在绝大多数企业环境中广泛部署。...一旦同意，攻击者即获得授权码，兑换为访问令牌（access token）与长期有效的刷新令牌，从而无需再次触发MFA即可持续访问用户邮箱与文件。...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。

2441 0

基于ZabbixAPI快速生成多Keys监控图表

本文分享笔者在企业DevOps过程中，是如何有效结合ZabbixAPI来实现批量监控的案例。 1. 前置条件 1.1....如上图，描述本次批量创建图表的主要脚本逻辑，即先获取Zabbix的身份验证令牌，然后查询主机或主机群获得其HOSTID，接着以HOSTID依次获取指定监控键值ID加入列表池，最后一次性请求graph.create...认证类(AUTH) 创建AUTH类并声明一个私有函数__init__，用来初始化Zabbix接口、Zabbix用户名，Zabbix密码。...在条件允许的情况下，建议使用SuperAdmin超管用户，跑通之后再进行权限精细化管理。...这里给出了三种解决方案： 1、在Web端将对应用户的Auto-logout选项勾上并设置时间使其自动失效。

1K1 0

Kerberos认证流程详解

MS14-068是密钥分发中心（KDC）服务中的Windows漏洞。它允许经过身份验证的用户在其Kerberos票证（TGT）中插入任意的PAC（表示所有用户权限的结构）。...黄金票据在Windows的kerberos认证过程中，Client将自己的信息发送给KDC，然后KDC使用krbtgt用户的Hash作为密钥进行加密，生成TGT。...黄金票据在利用过程中由 KDC颁发 TGT，并且在生成伪造的 TGT 得 20 分钟内，TGS 不会对该 TGT 的真伪进行前提：攻击者需要获得管理员访问域控制器的权限，并抓取到KRBTGT的哈希值...黄金票据允许攻击者伪造一个有效的Kerberos票据，因此需要一个伪造的用户名，以模拟合法用户的身份进行认证。...TGT，因为在票据生成过程中不需要使用KDC，所以可以绕过域控制器，且很少留下日志。

2.1K1 0

Yii2实现QQ互联登录

问了客服之后确定了这个“手持身份证”拍摄的正确姿势，然后我换了平台，在腾讯开放平台中改了我的申请信息，重新上传了身份证，我注意到上传框的下面有拍摄提示，看了下是个小姐姐的手持身份证照片，挺好看的，提示友好...允许第三方网站在用户授权的前提下访问在用户在服务商那里存储的各种信息。而这种授权无需将用户提供用户名和密码提供给该第三方网站。...二、OAuth的原理和授权流程 OAuth的认证和授权的过程中涉及的三方包括：服务商：用户使用服务的提供方，一般用来存消息、储照片、视频、联系人、文件等(比如Twitter、Sina微波等)。...在认证过程之前，第三方需要先向服务商申请第三方服务的唯一标识。 OAuth认证和授权的过程如下: 1、用户访问第三方网站网站，想对用户存放在服务商的某些资源进行操作。...3、服务商验证第三方网站的身份后，授予一个临时令牌。 4、第三方网站获得临时令牌后，将用户导向至服务商的授权页面请求用户授权，然后这个过程中将临时令牌和第三方网站的返回地址发送给服务商。

1.6K3 1

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

关键词：OneDrive钓鱼；云跳板攻击；中间人代理；条件访问；CASB；会话连续性；无密码认证1 引言在企业全面拥抱云协作的时代，Microsoft 365生态中的OneDrive与SharePoint...一旦得手，攻击者可立即利用Graph API遍历收件箱，提取包含财务、合同、人事等关键词的邮件线程，自动生成极具欺骗性的横向钓鱼内容，形成指数级扩散。面对此类攻击，仅依赖邮件层防护已显不足。...即使用户被诱导至仿冒页面，浏览器不会提示签名，攻击者无法获取有效凭证。更重要的是，无密码认证不产生可被代理复用的会话Cookie，从根本上消除AiTM的攻击面。...会话的User-Agent、IP、地理位置是否与共享创建者一致？通过构建会话图谱（Session Graph），将文件访问、登录、API调用等事件关联，可有效识别异常跳转链。...例如，若某会话在访问1drv.ms后5秒内出现在非微软域名的登录页，则极可能为钓鱼。6 结语利用OneDrive等可信云服务作为钓鱼跳板的攻击手法，标志着网络钓鱼已进入“信任滥用”新阶段。

3381 0

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

该服务器实时转发请求至真实的微软登录页面，并在用户输入凭据及完成多因素认证（MFA）的过程中，同步窃取生成的会话Cookie（Session Cookie）。...由于现代企业间的业务协作高度依赖云共享，这些被攻陷的账户通常拥有向外部域发送文件共享邀请的权限。一旦攻击者控制了合作伙伴账户，他们便获得了微软云环境的“合法居民”身份。...零信任的核心理念是“永不信任，始终验证”，不再默认内网或合法域名下的流量是安全的。4.1 强化身份认证：全面部署FIDO2安全密钥抵御AiTM攻击最有效的手段是采用抗钓鱼的身份认证协议。...源站绑定（Origin Binding）：FIDO2认证过程中，私钥签名操作会将当前的域名（Origin）纳入计算。...fetch_sharing_activities函数负责从Microsoft Graph API拉取审计日志（实际部署中需处理分页和API限流）。

1131 0

php cas单点登录

1.2、 CAS Client 负责处理对客户端受保护资源的访问请求，需要对请求方进行身份认证时，重定向到 CAS Server 进行认证。...定向认证： SSO 客户端会重定向用户请求到 SSO 服务器。用户认证：用户身份认证。发放票据： SSO 服务器会产生一个随机的 Service Ticket 。...Step 3 是用户认证过程，如果用户提供了正确的 Credentials ， CAS Server 随机产生一个相当长度、唯一、不可伪造的 Service Ticket ，并缓存以待将来验证，并且重定向用户到...Service 和新产生的 Ticket 过后，在 Step 5 和 Step6 中与 CAS Server 进行身份核实，以确保 Service Ticket 的合法性。...在该协议中，所有与 CAS Server 的交互均采用 SSL 协议，以确保 ST 和 TGC 的安全性。协议工作过程中会有 2 次重定向的过程。

3.4K2 0

这是一篇“不一样”的真实渗透测试案例分析文章

唯一的区别是api/db/dbbak.php中多了2个常量的定义，基本没有太大影响。这个2个文件都能被UC_KEY(dz)和UC_KEY(uc_server)操控。...文件泄露等问题获得uc_key(dz) 在x3版本以后，对于key的利用主要集中在操作数据库和UCenter功能上，利用各种办法进入discuz后台，结合接下来讲到的后台GetWebShell的方法获取最终权限...认证则会自动使用当前用户凭据进行认证。...知道了NTLM身份认证的大致流程，我们再来说NTLM中继，如下图所示，如果我们可以让Client A 向我们的Evil Server X，发起NTLM认证，那么我们就可以拿Client A的身份验证信息去向...此属性的作用是控制哪些用户可以模拟成域内任意用户，然后向该计算机(dev2)进行身份验证。

2.5K4 0

利用资源约束委派进行的提权攻击分析

委派委派(Delegation)是一种让用户可以委托服务器代表自己与其他服务进行验证的功能，它允许服务账户在活动目录中模拟其他域用户身份，主要用于当服务需要以某个用户的身份来请求访问其他服务资源的场景...Response 建立会话连接的请求中客户端向服务器提供了Kerberos认证方式，服务端接收并采用了MS KRB5的认证方式，使得用户可以直接以域用户身份与域控制器进行验证。...本例中我们便是使用Kerberos身份连接主机进行Powershell远程管理，而又希望以当前在Powershell上的身份与域控进行认证连接以便获得实质上的域管理员权限。...其实在一开始获得域管理员的身份访问计算机的服务票据时，已经限制了域管理员的作用域。结论通过利用基于资源的约束委派，攻击者能够令普通的域用户以域管理员身份访问本地计算机的服务，实现本地权限提升。...S4U2Self攻击）影响，但在实际测试过程中发现，尽管域管理员账户加入了被保护用户组，仍然可以为其请求有效的服务票据并访问服务。

3.3K2 0

3.基于OAuth2的认证（译）

一个完整的认证协议可能还会告诉你一些关于此用户的相关属性，比如唯一标识符、电子邮件地址以及应用程序说“早安”时所需要的内容。...另外一个的混淆的因素，一个OAuth的过程通常包含在一些认证的过程中：资源所有者在授权步骤中向授权服务器进行身份验证，客户端向令牌端点中的授权服务器进行身份验证，可能还有其他的。...而在某些情况下，用户无需身份验证即可获得access token（译注：比如[认证授权] 1.OAuth2授权 - 5.4 Client Credentials Grant）。...这意味着，如果一个Client想要确保身份认证是有效的，那么简单的使用token获取用户属性是不够的，因为OAuth保护的是资源，获取用户属性的API（identity API）通常没有办法告诉你用户是否存在...通过在OAuth的过程中直接向Client传递一组身份认证信息，而不是通过受OAuth保护的API这样的辅助机制来缓解它，从而防止Client在稍后的过程中注入未知来源的不可信的信息。

2K10 0

聊聊服务的接口认证

当我们在提供一个服务时，除了面向用户提供界面操作外，还会面向各种三方开发者，那么此时服务的接口认证就很重要了。...是在进行API调用时，加了一个调用者及其调用行为的指纹信息，以帮助服务端更好的识别用户及其调用行为的合法性。...调用者调用API前，必须向系统申请一个唯一的标识系统为每个调用者分配一个唯一的ID，这里暂定为SecretID 调用者调用API时带上该SecretID 服务端通过SecretID确认调用者身份以上流程的问题...，不能在任何地方明文显示 SecretKey最好不在请求过程中传输操作行为如何知道用户的调用行为呢？...因为前端场景比较难解决密钥存储问题（且一般面对不同的用户），所以一般都是用户身份一次验证，多次使用（即Token方案），至于用户身份认证可使用其他手段（如密码、短信验证码、图像验证码、邮件验证码等）验证

4731 0

office365 E5调用api使E5开发者续订修复版AutoApi （不使用服务器）

microsoft graph的api，一次调用10个api，5个onedrive的api还有4个outlook的api,剩下一个是组的api，调用一次后延时等待五分钟再重复调用。...但是原作者的代码需要在服务器上运行，成本较高。后来又有一位大佬找到了不用服务器也可以运行的的办法。而后者的方法是建立在前者的基础上的，因此我将他们的教程融合了起来，并对其中的个别词语进行了微调。...里的Microsoft Graph(就是那个蓝色水晶)，点击委托的权限，然后在下面的条例搜索以下12个最后点击底部添加权限 Calendars.ReadWrite 、 Contacts.ReadWrite...secret页面直接粘贴进去，不用做任何修改，只需保证前后没有空格空行 MS_TOKEN 微软密钥（第二步获得的refresh_token） CLIENT_ID 应用程序ID (第一步获得) CLIENT_SECRET...流程 -> build -> run api 就能看到每次的运行日志（必需点进去build里面的run api.XXX看下，api有没有调用到位，操作有没有成功，有没有出错） image 再点两次星星

8.1K1 1

无密码绕过！黑客利用ChatGPT劫持Facebook账户

以 Facebook 商业账户为目标的“僵尸军团” "快速访问 Chat GPT "的扩展程序实际上是通过连接聊天机器人的 API 实现了对 ChatGPT 的快速访问，但在访问过程中，该扩展还收集了用户浏览器中存储的包括谷歌...如果某个用户在 Facebook 上有一个活动、经过验证的会话，则恶意扩展插件为开发人员访问 Meta 的 Graph API。...更不幸的是，恶意扩展代码中的一个组件允许劫持用户的 Facebook 帐户，其方法是在用户帐户上注册一个恶意应用程序，并获得 Facebook 的批准。...因此，通过在用户帐户中注册应用程序，威胁攻击者可以在受害者的 Facebook 帐户上获得完全管理模式，而无需获取密码或尝试绕过 Facebook 的双重身份验证。...一个有经济动机的网络罪犯活动在 Facebook 通过其 Meta Graph API 授予访问权之前，首先必须确认该请求是来自一个经过认证的可信用户，为了规避这一预防措施，威胁者在恶意的浏览器扩展中加入了代码

1.8K2 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

一、引言近年来，随着多因素认证（Multi-Factor Authentication, MFA）在企业身份基础设施中的广泛部署，传统基于密码窃取的账户接管攻击已显著受限。...VoidProxy的核心能力在于动态克隆目标登录页面，透明中继用户与真实身份提供者（Identity Provider, IdP）之间的完整认证交互，包括基于时间的一次性密码（TOTP）、短信验证码及推送通知类...在此过程中，攻击者不仅捕获用户名与密码，更重要的是截获认证成功后返回的会话Cookie、OAuth 2.0访问令牌及刷新令牌（Refresh Token），从而实现无需凭证重放的持久化账户访问。...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...VoidProxy的成功暴露了以下根本性问题：MFA验证与会话绑定脱节：MFA仅在认证时刻验证用户身份，但生成的会话令牌本身不绑定设备、IP或浏览器上下文。一旦令牌泄露，任何持有者均可冒充合法用户。

2481 0

点击加载更多

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究

凭证窃取主导下的现代网络攻击链演化与防御体系构建

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

数字身份的通行证：深入解析单点登录（SSO）的架构与艺术

Api数据接口之安全验证

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

基于ZabbixAPI快速生成多Keys监控图表

Kerberos认证流程详解

Yii2实现QQ互联登录

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

php cas单点登录

这是一篇“不一样”的真实渗透测试案例分析文章

利用资源约束委派进行的提权攻击分析

3.基于OAuth2的认证（译）

聊聊服务的接口认证

office365 E5调用api使E5开发者续订修复版AutoApi （不使用服务器）

无密码绕过！黑客利用ChatGPT劫持Facebook账户

VoidProxy平台对多因素认证的绕过机制与防御对策研究

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐