通过Graph API消除身份风险事件的问题 - 腾讯云开发者社区

文章/答案/技术大牛

发布

Jenkins RCE 通过未经身份验证的 API

Jenkins（连续集成服务器）默认安装允许未经身份验证访问 Jenkins 主服务器上的 API（默认行为）。...允许未经身份验证访问 groovy 脚本控制台，允许攻击者执行 shell 命令和/或连接回反向 shell。...操作系统默认包展示 CentOS 6 - Jenkins RPM via Jenkins YUM Repo shell 作为用户 jenkins 制作了一些小的 groovy 脚本来通过...Jenkins API 执行我想要的 shell 命令（我记得有一些问题通过 groovy 一次运行多个命令），然后我使用 Curl 执行它们。...scriptText Jenkins API 执行 Groovy 脚本 curl -d "script=$(<.

1.6K3 0

凭证窃取主导下的现代网络攻击链演化与防御体系构建

通过实际代码示例展示OAuth令牌审计、异常会话检测与SOAR联动强制轮换等关键技术实现，为组织构建面向身份面的新一代安全边界提供可落地的技术路径。...思科2025年发布的全球威胁态势报告明确指出，超过68%的已确认入侵事件以凭证窃取为初始入口，远超漏洞利用（19%）与恶意软件投递（13%）。...此过程中，攻击者无需部署恶意软件，全程利用合法API调用，规避传统EDR检测。思科报告显示，73%的勒索事件中，攻击者在获得凭证后4小时内完成数据加密或外传。...建立身份风险评分制度：将MFA状态、设备合规性、登录历史等纳入动态风险评估，驱动条件访问策略。...本文提出的四层防御体系——以无密码认证消除攻击面、以行为分析实现精准检测、以自动化响应压缩攻击窗口、以管理流程固化安全文化——构成了面向身份面的纵深防御闭环。

2491 0

您找到你想要的搜索结果了吗？

是的

没有找到

如何高效收敛API暴露面？这3套方案让企业安全防护再升级！

【正文】某电商平台曾因未加密的API接口泄露1.5亿用户数据，造成股价暴跌。这类事件揭示了一个严峻现实：85%的企业无法准确识别自身活跃API资产。...如何有效收敛API暴露面，已成为企业安全建设的重中之重。方案一：全自动资产发现技术（推荐指数★★★★★）核心技术原理：通过流量镜像分析+主动探测技术，实时识别影子API、僵尸API和涉敏API。...腾讯云API安全优势：资产全景视图：自动分类API用途、活跃状态、数据标签动态更新机制：秒级响应API变更，消除配置滞后风险智能打标系统：基于机器学习自动标注功能场景与敏感等级方案二...安全Top10检测引擎方案三：全链路风险治理框架（推荐指数★★★★★）腾讯云API安全实践路径： graph TD A[资产发现] --> B[基线建模] B --> C{异常检测} C -...通过全自动资产发现（收敛暴露面）、精细化访问控制（阻断攻击入口）、全链路风险治理（持续对抗威胁）的三维防护体系，企业可将API安全风险降低83%。

1401 0

设计通过 POST 获取数据的 API 时需要注意的问题

，并通过语意化的方法，让不同的操作得到预期的结果。...目前讲的都是在规范中提到且建议的一般用法，实际服务器的 API 怎么开发依然是看实现的人；但通过语意化的方法去设计 API，绝对可以让 API 对开发者更加友好。...❞ 同样的，RESTFul API 只是设计风格而不是 HTTP 的规范，很有可能在设计时基于 RESTful 的精神，但实际开发的结果却完全不是 RESTful 的风格；但不可否认的是通过 RESTful...API 的设计风格，每个资源都会得到一个到对应的位置（URL），并能通过 HTTP 语意化的方法，对指定的资源做相对应的互动，整体资源管理会变得非常有语意化并且清晰，这确实是一个优秀的 API 设计方式...查询语句即文件查询语句即响应的数据结构，不会有冗余的内容统一的对外入口可以多查询合并，一起返回这些特性有效的解决了 RESTful API 在复杂架构下的问题，使 GraphQL 充满弹性、非常好用

2.3K3 0

通过程序来介绍Node.js 的几个文件读写和事件监听API

通过程序来介绍Node.js 的几个文件读写和事件监听API 使用 fs 模块实现文件读取程序 //导入模块 const fs = require("fs"); const fileName = "foo.txt...3、编写事件侦听程序 const events = require("events"); const emitter = new events.EventEmitter(); const username...add the user // then emit an event emitter.emit("userAdded", username, password); emitter.on()是用来监听事件的...，第一个参数是事件的名称，第二个参数是回调函数。...emitter.emit()可以用来触发事件，第一个参数是事件名称，后面的参数都是传递的参数名称。今天忙其他事情去了，没啥时间写区块链文章，就发一篇之前学Node.js记录的笔记吧。

1.1K3 0

基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

文中通过 Python 与 Microsoft Graph Security API 的代码示例，展示如何实现异常登录行为的自动化检测与响应。...此事件凸显了一个关键现实：即使部署了强身份验证机制，若缺乏对用户行为的上下文理解与干预能力，安全体系仍可能被绕过。...4.2 检测层：基于行为的异常识别即使攻击者获得凭证，其行为模式通常与合法用户存在差异。可通过 Microsoft Graph Security API 实时监控高风险活动。...此外，通过 Graph API 监控，我们成功捕获了所有模拟的“不可能旅行”与“异常数据访问”事件，验证了检测机制的有效性。...7 讨论本事件揭示了现代安全体系的一个结构性盲区：对“合法身份滥用”的防御不足。当攻击者完全模仿合法用户行为时，传统基于签名的检测模型失效。

2320 0

云邮箱钓鱼攻击趋势与企业防御体系重构

本文基于2023–2025年多起真实事件分析，系统梳理当前针对云邮箱的钓鱼攻击演进路径，重点剖析其在身份验证层、邮件过滤机制及用户交互界面三个维度的突破策略。...真正的问题在于：身份验证过程未与设备状态、行为上下文深度耦合。...4.1 身份层：推行无密码认证与条件访问核心原则：消除可钓鱼的共享密钥，将认证绑定至物理设备与上下文环境。（1）部署FIDO2/PasskeysFIDO2标准通过公钥加密实现无密码登录。...5 实施挑战与优化路径5.1 用户体验与安全的平衡全面推行Passkeys可能遭遇老旧设备兼容性问题。建议采取分阶段策略：高风险部门（财务、高管）优先强制，普通员工提供过渡期并配套硬件密钥发放。...实践表明，该框架在某跨国制造企业试点中，将钓鱼成功事件下降82%，SOC告警量减少45%。未来工作将聚焦于AI驱动的上下文风险评分与跨平台身份策略编排，进一步提升防御弹性。

2211 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...关键词：OAuth 同意滥用；假冒微软应用；Entra ID；多因素认证绕过；Graph API；条件访问1 引言多因素认证（MFA）作为现代身份安全的核心防线，已在绝大多数企业环境中广泛部署。...用户难以判断风险。3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志，也因数据量庞大而忽略异常。...，并记录事件ID 53003。...可通过Microsoft Graph API动态评估权限风险：HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All

2401 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

然而，近期多起安全事件表明，攻击者正通过滥用Microsoft Entra ID（原Azure AD）的OAuth 2.0授权框架，绕过MFA保护，直接获取对Microsoft 365账户的持久化访问权限...2025年初，多家安全机构报告了多起利用此手法的攻击事件。...Graph API。...6 讨论此类攻击的本质是身份授权机制与用户认知之间的错配。OAuth设计初衷是提升互操作性，但其“一次同意、长期访问”的模型在企业环境中构成重大风险。...本文通过技术还原攻击链，证实了从应用注册到数据窃取的可行性，并据此提出分层防御策略。防御的关键在于将OAuth授权视为高风险操作，而非普通登录流程。

2521 0

Kubernetes 集群零信任访问架构设计

API 调用之前进行身份验证。...Kubernetes 可以广泛使用安全模块和插件，以确保该平台能够通过团队首选的身份验证系统有效运行： HTTP 基本身份验证身份验证代理（支持 LDAP、SAML、Kerberos 等）客户证书...如果发生紧急事件，补救所需的时间至关重要。如果访问方法让那些对问题进行故障排除的人只需要几分钟才能登录到受影响的集群，那么问题可能会成倍增加。...通过消除在每个集群上手动应用最佳实践的需要，IT 组织可以以更低的风险大规模运行 Kubernetes。...快速和简化可访问性：通过安全的单点登录为授权用户提供无缝访问，从而消除对任何集群的延迟访问。

1.1K1 0

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

一旦得手，攻击者可立即利用Graph API遍历收件箱，提取包含财务、合同、人事等关键词的邮件线程，自动生成极具欺骗性的横向钓鱼内容，形成指数级扩散。面对此类攻击，仅依赖邮件层防护已显不足。...以下为通过Microsoft Graph API创建条件访问策略的示例：policy = {"displayName": "Block risky logins to SharePoint","state...更重要的是，无密码认证不产生可被代理复用的会话Cookie，从根本上消除AiTM的攻击面。...会话的User-Agent、IP、地理位置是否与共享创建者一致？通过构建会话图谱（Session Graph），将文件访问、登录、API调用等事件关联，可有效识别异常跳转链。...通过条件访问策略约束高风险会话的创建，借助CASB监控异常共享行为，强化对页面内嵌元素的动态分析，并最终推动认证方式向无密码演进，方能系统性压缩攻击者的操作空间。

3141 0

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

研究表明，仅依赖MFA已无法抵御利用合法认证界面的授权型攻击，企业必须重构身份验证策略，从协议层消除设备代码授权流的非必要暴露，方能有效应对跨阵营协同演化的云身份威胁。...5.4 监控与告警通过Microsoft 365 Defender或Azure AD Audit Logs监控以下事件：Sign-in log 中的“Device code authentication...”事件；Application consent logs 中的非常规client_id授权；Token issuance logs 中的异常权限范围。...可行的折中方案包括：仅对高风险用户组（如高管、财务）禁用；启用“连续访问评估”（Continuous Access Evaluation, CAE），使令牌在检测到风险时实时失效；要求所有设备授权请求必须来自合规设备...企业应重新评估设备代码授权流的必要性，优先推广FIDO2等无密码认证方式，并通过日志监控与策略自动化实现动态防护。唯有如此，方能在攻击者不断融合演进的威胁环境中守住身份这一数字边界。

2151 0

混合云架构API安全管理方案：腾讯云API安全助力企业构建智能防护体系

正文混合云架构通过结合公有云的弹性与私有云的可控性，助力企业实现资源最优配置。然而，API的跨环境调用也引入了新的安全威胁：影子API暴露、敏感数据泄露、恶意流量攻击等风险频发。...数据泄露风险：API传输的敏感信息（如用户身份证、手机号）若未加密，可能违反《个保法》要求。流量管控复杂：突发流量或恶意调用可能导致后端服务过载，影响业务稳定性。...消除影子API，实现资产一本账。敏感数据防泄露内置身份证、手机号等19类敏感信息检测规则，支持自定义关键字、正则匹配。...例如，检测到未登记的高危接口时，可即时生成风险事件告警。...undefined在混合云中，企业可通过统一控制台管理跨云API，无需担心环境异构问题。

1281 0

钓鱼攻击治理的政策—技术协同框架构建研究

在此基础上，提出一个“政策—技术—教育”三位一体的协同治理框架，强调通过立法明确平台责任、建立国家级事件报告机制、强化身份验证标准，并辅以可落地的技术实现路径。...文中提供基于 Python 的邮件头解析与可疑域名检测代码示例，以及利用 Microsoft Graph Security API 实现自动化威胁上报的流程设计，验证技术手段与政策要求的兼容性。...Preparing report...")# 此处可集成上报至国家平台的 API该脚本可嵌入企业邮件网关，实现初步筛查与结构化数据生成，为政策要求的“事件报告”提供技术支撑。...4.2 利用 Graph API 上报威胁指标对于使用 Microsoft 365 的机构，可通过 Microsoft Graph Security API 自动提交钓鱼域名作为威胁指标（TI）：import...唯有通过持续的政策迭代、开放的技术协作与深入的公众参与，才能构建一个真正以消费者为中心的安全数字经济生态。这不仅是技术问题，更是治理问题。编辑：芦笛（公共互联网反网络钓鱼工作组）

1451 0

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

2025年披露的一起新型攻击事件显示，攻击者利用Microsoft OneDrive作为主要传播媒介，通过伪造人力资源部门关于薪酬调整或股权授予的通知邮件，诱导目标点击嵌入的共享链接。...搜索并下载敏感文档：利用Graph API遍历OneDrive与SharePoint中的文件夹，下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...此后，即使原始凭证被重置，攻击者仍可通过OAuth令牌维持API级访问，实现长期潜伏。...其中，高管不应被视为“高权限用户”，而应被定义为“高风险身份主体”，适用更严格的访问控制与监控策略。...企业应将高管身份安全纳入整体风险管理框架，而非仅视为IT问题。六、结语基于OneDrive的高级鱼叉钓鱼攻击代表了当前APT活动中社会工程与云技术滥用的典型范式。

2301 0

零信任安全技术深度解析：技术架构与最佳实践

： 3.4 持续监控与分析用户和实体行为分析（UEBA）：基线建立：学习正常用户行为模式异常检测：识别偏离基线的可疑行为风险评分：量化安全风险等级安全信息与事件管理（SIEM）集成：日志聚合...： - 安全运营中心：建立7x24小时的安全监控能力 - 应急响应：制定零信任环境下的安全事件响应流程 - 持续改进：建立策略持续优化和改进机制 5.3 常见挑战与解决方案用户体验挑战： - 问题：频繁的身份验证影响用户体验...攻击促使Google重新思考安全架构技术方案：所有设备必须注册和管理所有访问都经过身份验证和授权所有通信都进行加密实施效果：完全消除了VPN的使用提高了远程办公的安全性和便利性...级安全：为每个Pod分配独立的安全身份 API安全：保护微服务间的API调用 6.3 混合办公场景 SASE（安全访问服务边缘）架构： SASE将零信任与SD-WAN、云安全服务结合： 7....核心价值： - 安全性提升：通过细粒度访问控制和持续验证，显著降低安全风险 - 业务敏捷性：支持远程办公和云优先的业务模式 - 运营效率：自动化和智能化降低安全运营复杂度实施建议： - 采用分阶段实施策略

2.2K1 1

钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究

根据SpyCloud于2025年发布的《身份威胁报告》，35%的受害组织将钓鱼列为勒索软件入侵的主因，较2024年显著上升10个百分点；85%的受访企业过去一年至少遭遇一次勒索事件，其中近三分之一经历6...（MFA），通过窃取会话Cookie实现用户身份冒用。...通过提供模拟AitM代理与会话劫持检测的代码示例，本文为安全从业者提供可落地的技术参考，旨在弥合身份安全体系中的关键盲区。...以下Python脚本模拟检测异常会话（基于Microsoft Graph API）：import requestsfrom datetime import datetime, timedeltaGRAPH_API_TOKEN...未来工作将聚焦于基于UEBA（用户与实体行为分析）的实时会话风险评分，以及FIDO2在混合办公环境中的大规模部署挑战。安全防御不应止步于入口，而需贯穿整个身份生命周期。

2901 0

钓鱼邮件“精准制导”升级：Outlook与Gmail成重灾区，企业身份防线告急

场景1：线程劫持——伪装成对话延续攻击者首先通过信息泄露或撞库获取某员工的邮箱凭证，登录后找到一封真实的内部邮件（如“Q4销售预测讨论”），然后以该员工身份回复：“附件是更新版，请查收。”...页面不仅复刻了Microsoft 365登录界面，还动态显示受害者的真实姓名、部门甚至最近登录设备型号——这些信息来自此前泄露的数据或公开API。...一旦同意，攻击者即获得访问用户邮箱、日历、联系人的API权限，且该令牌长期有效，难以察觉。...彻底淘汰密码：拥抱FIDO2/PasskeysFIDO2标准下的无密码认证（如Windows Hello、Apple Passkeys、YubiKey）从根本上消除凭证窃取风险。...建立快速响应机制一键冻结账户：SOC接到报告后5分钟内禁用账号；会话吊销：通过Microsoft Graph API或Google Admin SDK，立即终止所有活跃会话；# Microsoft Graph

2481 0

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

微软 Entra ID（原 Azure Active Directory）作为主流的企业级身份平台，其 B2B 协作功能在提升跨组织协作效率的同时，也暴露出新的安全风险。...Graph API 的代码示例，验证防御措施的可行性。...邀请可通过以下方式发起：手动邀请：管理员或具有“Guest Inviter”角色的用户通过 Azure 门户、Microsoft Graph API 或 PowerShell 发送邀请。...一旦获得权限，攻击者可通过 Microsoft Graph API 发送邀请。...此外，通过 Graph API 监控，我们能在 5 分钟内检测到异常邀请模式并自动响应。6 讨论本攻击揭示了现代 IAM 系统的一个根本矛盾：便利性与安全性之间的张力。

1680 0

OpenAI“后门”失守：一次钓鱼攻击如何撬动AI巨头的第三方供应链防线

尽管OpenAI强调“核心模型、用户聊天记录、API密钥、支付信息均未受损”，但这一事件仍如一枚深水炸弹，在全球AI安全圈激起巨大涟漪。...例如使用WebAuthn标准，用户通过指纹或手机确认即可登录，彻底消除凭证钓鱼风险。3....第三方风险自动化评估企业应部署第三方风险管理平台（如SecurityScorecard、BitSight），持续监控供应商的安全 posture。...例如，所有重要通知仅通过API控制台内的消息中心推送，或通过已绑定的硬件安全密钥签名的消息。此外，定期轮换API密钥虽非OpenAI强制要求，但从安全最佳实践出发，仍值得推荐。...我们正处在一个“连接即风险”的时代。每一个API调用、每一次数据共享、每一份第三方合同，都可能成为未来安全事件的伏笔。

2011 0

点击加载更多

Jenkins RCE 通过未经身份验证的 API

凭证窃取主导下的现代网络攻击链演化与防御体系构建

如何高效收敛API暴露面？这3套方案让企业安全防护再升级！

设计通过 POST 获取数据的 API 时需要注意的问题

通过程序来介绍Node.js 的几个文件读写和事件监听API

基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

云邮箱钓鱼攻击趋势与企业防御体系重构

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

Kubernetes 集群零信任访问架构设计

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

混合云架构API安全管理方案：腾讯云API安全助力企业构建智能防护体系

钓鱼攻击治理的政策—技术协同框架构建研究

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

零信任安全技术深度解析：技术架构与最佳实践

钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究

钓鱼邮件“精准制导”升级：Outlook与Gmail成重灾区，企业身份防线告急

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

OpenAI“后门”失守：一次钓鱼攻击如何撬动AI巨头的第三方供应链防线

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐