来自Web API的Access Graph API引发未经授权的错误v2.0 - 腾讯云开发者社区

文章/答案/技术大牛

发布

ASP.NET Web API 2中的错误处理

HttpError public HttpResponseMessage Exception() { //使用Request对象创建返回到客户端的错误信息 Request.CreateErrorResponse...ResponseMessageResult( context.Request.CreateErrorResponse(HttpStatusCode.BadRequest, "发生了不可描述的错误...相关阅读 catch all unhandled exceptions in ASP.NET Web Api Handling Errors in Web API Using Exception Filters...and Exception Handlers Exception Handling in ASP.NET Web API Global Error Handling in ASP.NET Web API...2 Action Results in Web API 2 版权声明本文为作者原创，版权归作者雪飞鸿所有。

2.5K3 0

一个由“API未授权漏洞”引发的百万级敏感数据泄露

不可忽视的API安全实际上，这并非个例，近年来Web应用数据泄露案例层出不穷。...在千行百业数字化转型的背景下，API成为了数字化体验的中心，APP、Web网站和小程序等应用的核心功能、微服务架构等均离不开API的支持。...随着智慧医疗的普及，医院和医疗机构越来越依赖于网络和Web应用程序来管理患者信息、诊断结果、药物处方等敏感数据。...而这些数据往往成为攻击者的目标，未经盘点的影子API、存在逻辑漏洞的API、未鉴权的API等，往往是攻击者窃取敏感数据的突破口。因此做好API 风险暴露面的识别与管控就是敏感数据的重中之重。...通过使用腾讯云WAF-API安全，医院可以大大降低敏感数据泄露的风险，保障患者信息和医疗数据的安全，同时提高医院网络和Web应用程序的整体安全性。

1.2K2 0

您找到你想要的搜索结果了吗？

是的

没有找到

ASP.NET Web API自身对CORS的支持: CORS授权检验的实施

通过《EnableCorsAttribute特性背后的故事》我们知道：由CorsPolicyProvider提供的CorsPolicy表示目标Action采用的资源授权策略，ASP.NET Web API...在ASP.NET Web API的应用编程接口中，资源授权检验的结果通过类型CorsResult来表示。...二、CorsRequestContext 针对CORS的支持其实并不限于仅被使用在ASP.NET Web API上，用于根据提供的资源授权策略对跨域资源请求进行授权检验得引擎定义在程序集System.Web.Cors.dll...对于ASP.NET Web API来说，CORS资源授权检验实施的目标是表示当请求的HttpRequestMessage对象，这个对象自然不可能使用在ASP.NET的核心CORS引擎中。...] ASP.NET Web API自身对CORS的支持: CORS授权策略的定义和提供 [7] ASP.NET Web API自身对CORS的支持: CORS授权检验的实施 [8] ASP.NET

2.1K11 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...","offline_access"]随后，通过已攻陷账户或伪造发件人地址，向目标用户发送钓鱼邮件，内容如：“您有一份来自ILSMart的RFQ文档待审阅。...请点击下方链接授权Adobe服务访问您的邮箱以同步通知。”链接形如：https://login.microsoftonline.com/common/oauth2/v2.0/authorize?...3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志，也因数据量庞大而忽略异常。3.4 审计滞后企业极少定期审查已授权应用列表。

2391 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

攻击目标不再是静态密码，而是动态的、具有时效性的授权令牌；攻击载体不再是可执行文件，而是合法云服务的API接口。这一变化对企业的安全边界提出了全新挑战。...若用户已处于活动会话（即已登录Outlook Web），系统将直接显示授权同意页面，列出请求的权限范围（如“读取您的邮件”、“访问您的文件”）。...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1891 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...假设攻击者已注册一个Azure AD应用，client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”，并申请了以下API权限：Microsoft Graph: Mail.ReadWrite...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...4.3 部署基于条件的访问（Conditional Access）策略条件访问策略可动态阻断高风险授权行为。...例如：阻止从非托管设备或异常地理位置发起的设备代码授权；要求所有OAuth令牌请求必须来自合规设备；对包含敏感权限（如Mail.ReadWrite）的令牌请求强制二次审批。

1971 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

关键词：OAuth 2.0；钓鱼攻击；PhaaS；令牌劫持；条件访问；Microsoft Entra ID1 引言OAuth 2.0协议自标准化以来，已成为现代Web与移动应用实现第三方授权的事实标准。...2 OAuth 2.0授权码模式与企业部署现状在企业环境中，OAuth 2.0最常采用授权码模式（Authorization Code Flow），尤其适用于具备后端服务的Web应用。...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...随后，构造钓鱼邮件，内嵌伪装为文档共享通知的链接，指向该应用的授权URL：https://login.microsoftonline.com/common/oauth2/v2.0/authorize?...例如，要求访问令牌必须来自已加入Entra ID的设备，且IP地址位于企业网络：// Conditional Access Policy 示例{"conditions": {"applications"

2821 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

"][:50] + "...")# 此时可调用 Microsoft Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending...":time.sleep(5)else:print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API...API。”...Proofpoint 发现，部分攻击甚至持续数周未被发现——因为所有操作都通过合法 API 进行，IP 地址来自正常办公区域（攻击者使用代理或已控跳板机），行为模式与日常办公高度相似。...毕竟，在数字世界里，最危险的指令，往往来自你最信任的页面。

2831 0

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

一、一封“学术合作”邮件背后的云端渗透2025年10月，某欧洲知名智库的研究员安娜（化名）收到一封来自“美国国务院政策研究办公室”的邮件。...# 攻击者侧：使用Microsoft Graph API发起设备代码请求（简化示例）import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后，攻击者即可调用Microsoft Graph API，读取邮件、日历、OneDrive文件、Teams消息，甚至发送新邮件冒充受害者——全程无需知道密码...邮件安全网关：钓鱼邮件来自真实邮箱，内容无恶意附件或链接（指向的是微软官方域名），难以拦截；MFA：用户确实在微软官网完成了交互式登录，MFA已通过；SIEM/SOAR：后续的API调用（如读取邮件）来自微软数据中心...例如，若某账户在短时间内从不同国家调用Graph API，即使Token合法，也应触发二次验证。（4）员工意识培训需升级传统“别点可疑链接”已不够。

1631 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

研究基于实际捕获的恶意应用注册信息、授权日志与API调用轨迹，系统还原了从社会工程诱骗、OAuth同意页面伪造到数据外传的完整攻击链。...该机制极大提升了用户体验，但也引入了新的攻击面：若用户被诱导授权一个恶意应用，攻击者即可绕过所有基于密码和MFA的验证环节，直接通过合法API接口操作账户。...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...攻击者使用refresh_token定期换取新access_token，实现长期潜伏。所有API调用均来自微软合法IP，难以被网络层检测。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

2501 0

MCP解决了哪些不可控的AI问题

越权调用：AI模型超出授权范围调用工具或访问资源，引发安全风险。安全漏洞：工具调用过程中存在注入攻击、路径遍历等安全漏洞。性能波动：AI系统的响应时间和资源消耗不稳定，影响用户体验。...上下文理解偏差：模型对上下文的理解存在偏差，导致错误推断。工具调用不当：模型错误选择或调用工具，导致错误结果。...安全漏洞：模型调用存在安全漏洞的工具，引发安全问题。...与主流方案深度对比 3.1 安全机制对比方案 MCP v2.0 OpenAI Tools LangChain Tools 认证机制支持JWT/OAuth2 仅API密钥依赖框架，基础认证授权管理...技术深度拆解与实现分析 4.1 MCP安全机制的实现细节 4.1.1 认证与授权实现 MCP v2.0采用JWT（JSON Web Token）作为默认的认证机制，结合基于角色的权限管理（RBAC）实现细粒度的授权控制

2191 0

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

（通常包括MFA）后，将授权授予客户端；客户端通过轮询使用device_code换取访问令牌（access_token）和刷新令牌（refresh_token）。...以Microsoft Entra ID为例，设备授权端点为：POST https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecodeContent-Type...）API权限：勾选Microsoft Graph的Delegated权限，如：Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...': f'Bearer {token["access_token"]}'}mails = requests.get('https://graph.microsoft.com/v1.0/me/messages...可行的折中方案包括：仅对高风险用户组（如高管、财务）禁用；启用“连续访问评估”（Continuous Access Evaluation, CAE），使令牌在检测到风险时实时失效；要求所有设备授权请求必须来自合规设备

2061 0

MCP 与长期记忆系统结合

：如何保护记忆中的敏感信息 MCP v2.0 通过标准化的协议框架和扩展的 API，为解决这些挑战提供了一套完整的解决方案。...3.2 MCP 记忆管理 API 设计与实现 3.2.1 API 设计原则 MCP v2.0 记忆管理 API 设计遵循以下原则：简洁性：API 设计简洁易用，减少开发者的学习成本一致性：与 MCP...3.7 记忆系统的安全性设计 3.7.1 安全威胁模型 MCP 记忆系统面临的主要安全威胁包括：未授权访问：未经授权的用户或 Agent 访问敏感记忆数据泄露：记忆数据被泄露给未授权的第三方数据篡改...：记忆数据被篡改，导致 Agent 做出错误决策隐私侵犯：记忆中包含的隐私信息被滥用记忆注入：恶意用户或 Agent 注入错误或有害的记忆 3.7.2 安全防护措施 MCP v2.0 实现了全面的安全防护措施...MCP v2.0 实现了多记忆系统的协作机制，能够根据不同的查询需求，选择合适的记忆系统进行检索：查询路由：根据查询类型和需求，将查询路由到合适的记忆系统结果融合：将来自不同记忆系统的检索结果进行融合和排序

1821 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...例如，使用被盗Refresh Token获取新Access Token的请求如下：POST /common/oauth2/v2.0/token HTTP/1.1Host: login.microsoftonline.comContent-Type.../.default返回的Access Token可立即用于读取邮件：GET /v1.0/me/messages HTTP/1.1Host: graph.microsoft.comAuthorization...: Bearer ACCESS_TOKEN>由于所有请求均来自合法客户端（如官方Outlook App的User-Agent），且IP可伪装为用户常用地理位置，SIEM系统难以识别异常。...DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌，该私钥与TLS连接绑定。即使攻击者窃取Access Token，也无法在其他连接中使用。

2381 0

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

一、一场“巧合”的攻击暴露了更危险的趋势2025年10月，一家位于德国的能源企业安全团队在例行日志审计中发现异常：多个高管账户在凌晨时段调用了Microsoft Graph API，读取了大量内部邮件和...奇怪的是，所有登录均来自微软官方IP，且MFA（多因素认证）记录完整——没有密码爆破，没有会话劫持，也没有恶意软件痕迹。.../devicelogin，输入user_code；同时，受限设备后台持续轮询令牌端点；用户在网页端登录并同意授权后，服务器向设备返回Access Token。...此时，受害者实际上是在向攻击者控制的应用授权！一旦确认，攻击者的轮询脚本立即获得Access Token，并可调用任意Graph API权限。...（1）立即禁用非必要设备代码流最有效的措施是在Azure AD中通过条件访问策略（Conditional Access Policy）全局禁用设备代码授权：Azure Portal → Azure Active

1611 0

从Function Calling到MCP：AI工具调用的范式级变化

：认证与授权：采用JWT或OAuth2等标准认证方式，结合基于角色的权限管理（RBAC）。...通用框架专门的AI工具生态 MCP 动态能力有限支持动态能力协商 MCP 4.3 MCP vs RESTful API 维度 RESTful API MCP v2.0 优势方设计风格资源导向...MCP将与Web3技术融合：MCP可能会与Web3技术融合，实现去中心化的工具市场和资源共享。 7....参考链接： MCP官方GitHub仓库：MCP协议规范和参考实现 MCP v2.0发布说明：详细介绍MCP v2.0的新特性 FastAPI官方文档：用于构建MCP Server的Web框架 Python...安全机制包括认证、授权、速率限制、审计日志和沙箱隔离等生态集成标准化的工具注册和发现机制，支持工具市场和生态建设 MCP v2.0 API端点详细说明端点方法功能认证要求 / GET

2471 0

如何使用CORS和CSP保护前端应用程序安全

在当今互联网的环境中，第三方集成和API的普及使得确保强大的安全性至关重要。安全漏洞可能导致数据盗窃、未经授权访问以及品牌声誉受损。本文将向您展示如何使用CORS和CSP为您的网页增加安全性。...例如，它阻止了有效的跨域请求，而这对于依赖于来自不同服务器的API的Web应用程序是必要的。如果没有CORS，您的前端应用程序将无法从不同域上托管的API中检索数据。...这可以防止未经授权的访问和潜在的数据泄露，同时仍然允许合法的跨域请求，促进安全和功能完善的网络生态系统。...在实施CORS时要注意潜在的陷阱，比如过于宽松的“ Access-Control-Allow-Origin ”设置可能会将您的资源暴露给未经授权的来源。...分析本可以避免的安全漏洞由于CORS配置错误导致的数据泄露：在配置错误的后端系统中，敏感数据可能通过CORS暴露给未经授权的域名。通过正确的CORS策略限制来源，可以避免此类数据泄露。

1.6K1 0

Django REST Framework-基于JSON Web Token的身份验证

在Django REST Framework中，基于JSON Web Token (JWT) 的身份验证是一种常见的身份验证方法。...': str(refresh.access_token), }# 验证Tokendef validate_token(token): try: RefreshToken(token...返回的字典包含两个令牌：refresh和access。refresh令牌用于在用户的访问令牌过期时刷新令牌。access令牌用于每个API请求的身份验证。...由于我们还使用了SessionAuthentication类，因此如果用户未经过身份验证，则会回退到会话身份验证。如果用户未经过身份验证，则会引发HTTP 401未经授权错误。...以下是一些常见的选项：# settings.pySIMPLE_JWT = { 'ACCESS_TOKEN_LIFETIME': timedelta(minutes=5), 'REFRESH_TOKEN_LIFETIME

3.1K3 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

与refresh_token用于后续API调用store_tokens(tokens['access_token'], tokens['refresh_token'])return tokens获得令牌后...controls > App access control > Restrict external apps3.2 第三方授权定期审计与自动清理组织应建立自动化机制，定期扫描并撤销高风险或闲置的第三方授权...以下Python脚本利用Google Admin SDK Directory API列出某用户的所有OAuth客户端授权：from googleapiclient.discovery import builddef...API支持查询用户授予的同意记录：GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization: Bearer...access_token>企业可开发内部工具，每周自动标记并通知用户确认非必要授权，或直接批量撤销。

2761 0

Facebook Graph API(1)—介绍

Facebook提供三种low-level HTTP APIS去访问Facebook Graph. 1.Graph API 2.FQL(过期) 3.Legacy REST API(过期) 为什么要学习Graph...Login, Authorization and Permissions 登录，授权和权限使用Graph API访问数据需要先理解的几个专业术语。...Authorization: 授权需要建立在客户端client(mobile or web), your servers(if you have them) and Facebook's Servers...Access Token: 访问令牌是在授权过程中一个特殊的字符才能，它表示一组已授予的权限，并且可以用在一个特定的应用程序或者一个特定人上。...Connections 连接是通过构建不同的URL通过Graph API去获取用户的具体信息。再获取用户信息前提是用户必须授权给应用，否则返回空的数据集合。

2.7K8 0

点击加载更多

ASP.NET Web API 2中的错误处理

一个由“API未授权漏洞”引发的百万级敏感数据泄露

ASP.NET Web API自身对CORS的支持: CORS授权检验的实施

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

高级OAuth钓鱼攻击的演化机制与防御体系构建

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

MCP解决了哪些不可控的AI问题

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

MCP 与长期记忆系统结合

VoidProxy平台对多因素认证的绕过机制与防御对策研究

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

从Function Calling到MCP：AI工具调用的范式级变化

如何使用CORS和CSP保护前端应用程序安全

Django REST Framework-基于JSON Web Token的身份验证

基于OAuth滥用的定向钓鱼攻击与防御机制研究

Facebook Graph API(1)—介绍

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐