通过Microsoft Graph API访问SharePoint文件 - 腾讯云开发者社区

文章/答案/技术大牛

发布

如何通过BDC反序列化在Microsoft SharePoint上执行任意代码

写在前面的话在今年年初，研究人员Markus Wulftange（@mwulftange）曾报告过Microsoft SharePoint中的一个远程代码执行漏洞（RCE），该漏洞的CVE编号为CVE...漏洞细节这个漏洞存在于微软SharePoint中的业务数据（BDC）连接服务之中，由于自定义的BDC模型中可以使用任意的方法参数类型，从而导致Microsoft SharePoint 2016中的业务数据连接...SharePoint允许使用业务数据连接模型文件格式（MS-BDCMFFS）数据格式来指定自定义的BDC模型，这种规范中的部分内容为方法和参数定义。...当然了，这个操作也可以通过PowerShell来完成： 3、然后，攻击者就可以调用这个方法了，并通过函数参数来传递攻击Payload：在SharePoint服务器上，你将会发现生成了两个cmd.exe...如果你想要查看代码路径的话，你可以把调试器绑定到SharePoint应用程序的w3wp.exe上，并在system.web.dll上设置断点。我们可以通过System.Web.dll!

1.8K2 0

OpenAI推出企业级SharePoint连接器，挑战Microsoft 365 Copilot

这一举措通过提供与Microsoft 365 Copilot类似的能力，即对存储在SharePoint Online和OneDrive for Business中的文件进行推理分析，直接向Microsoft...访问通过针对Entra ID的OAuth认证授予，并且仅限于用户可访问的信息，就像任何其他使用Graph API与SharePoint Online和OneDrive for Business交互的应用一样...根据OpenAI的说法，新文件或对SharePoint文件的更新在一小时内即可在ChatGPT中使用。文件访问受"SharePoint和ChatGPT之间的严格电子邮件域名匹配"控制。...用户的SharePoint账户必须与其ChatGPT账户电子邮件匹配。"我猜这意味着用户主体名称必须与创建ChatGPT账户时使用的电子邮件地址匹配，ChatGPT才允许访问同步的文件。...使用Graph权限读取SharePoint的应用示例可在此处找到。

1681 0

您找到你想要的搜索结果了吗？

是的

没有找到

基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

更关键的是，SharePoint支持动态生成临时共享链接，且可通过Microsoft Graph API进行程序化管理。...该文件通常命名为index.html或secure_login.html，并通过SharePoint的“匿名访问”或“特定人员共享”权限开放。...可通过Microsoft Defender for Cloud Apps或自建SIEM系统监控以下行为：非常规时间访问SharePoint HTML资源单一用户短时间内多次访问不同共享链接共享链接创建者与内容类型不匹配...（如普通员工创建大量登录页面）以下Python脚本示例展示如何通过Microsoft Graph API审计可疑共享项：import requestsimport jsondef detect_suspicious_sharing...SharePoint敏感内容对访问HTML/JS文件的行为要求MFA二次确认对非常用地点访问实施阻断或审批5.3 用户安全意识提升开展针对性演练：模拟SharePoint钓鱼邮件，测试员工识别能力教育用户

2401 0

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

据CyberPress披露，攻击者通过已被攻陷的Microsoft 365账户创建真实的OneDrive或SharePoint文件共享链接，并在邮件中嵌入“文档已安全加密，请登录查看”等诱导性文案，大幅提升用户点击意愿...关键词：OneDrive钓鱼；云跳板攻击；中间人代理；条件访问；CASB；会话连续性；无密码认证1 引言在企业全面拥抱云协作的时代，Microsoft 365生态中的OneDrive与SharePoint...以下为通过Microsoft Graph API创建条件访问策略的示例：policy = {"displayName": "Block risky logins to SharePoint","state...（CASB）监控共享行为CASB可集成Microsoft 365审计日志，检测异常共享模式，例如：单账户在1小时内创建超过50个“任何人可访问”链接；共享对象为非工作相关文件类型（如.exe、.scr）...通过构建会话图谱（Session Graph），将文件访问、登录、API调用等事件关联，可有效识别异常跳转链。例如，若某会话在访问1drv.ms后5秒内出现在非微软域名的登录页，则极可能为钓鱼。

3001 0

Linux通过samba访问windows文件

前言在linux 服务器上安装samba服务，然后挂载windows上的共享文件夹，实现在Linux服务器上轻松访问windows上的文件步骤 1：安装 Samba确保系统中已安装 Samba。...path 是实际的共享文件夹路径。browseable, writable, guest ok 分别允许浏览、写入以及让访客可以访问。2.3. 保存并退出文件。2.4....确保 Windows 共享目录在网络上可访问。3.2. 创建一个挂载点（Mount Point）：这是 Linux 系统上的一个空文件夹，用于挂载共享文件夹。...luoqiu 和 123456 是 Windows 计算机的用户名和密码，用于访问共享。3.4. 验证挂载：通过 ls /mnt/Windows 等命令验证是否成功挂载。...注意事项：为了安全起见，请确保 Samba 配置文件的权限正确设置，并仅允许必要的访问权限。

2.8K2 1

Microsoft Teams 全球大瘫痪。。。

八个多小时前微软在Microsoft 365状态Twitter官方帐户上透露：“我们接到了有关用户无法访问Microsoft Teams或使用任何功能的报告。”...微软解释道：“我们已确定了对多项与Teams集成的Microsoft 365服务造成的下游影响，比如Microsoft Word、Office Online和SharePoint Online。”...（发送邮件出现延迟） •Microsoft 365 管理员中心（无法访问） •多项服务内的Microsoft Word（无法加载） •Microsoft Forms（无法通过Teams来使用） •Microsoft...Graph API（任何依赖此API的服务都可能受到影响） •Office Online（Microsoft Word 访问问题） •SharePoint Online（Microsoft Word...访问问题） •Project Online（无法访问） •PowerPlatform和PowerAutomate（无法使用数据库创建环境） •Microsoft Managed Destop内的自动补丁

2.4K3 0

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

搜索并下载敏感文档：利用Graph API遍历OneDrive与SharePoint中的文件夹，下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...此后，即使原始凭证被重置，攻击者仍可通过OAuth令牌维持API级访问，实现长期潜伏。...以下Python脚本利用Microsoft Graph API实现授权审计：import requestsdef audit_oauth_apps(user_token):headers = {"Authorization...": f"Bearer {user_token}"}url = "https://graph.microsoft.com/v1.0/me/oauth2PermissionGrants"response...grant in response.json().get('value', []):app_id = grant['clientId']app_info = requests.get(f"https://graph.microsoft.com

2231 0

陈希章（O365开发指南）：Python在Office 365 开发中的应用

我之前写的《Office 365 开发入门指南》一书，对Office 365开发进行了比较详细的阐述，有兴趣可以参考《Office 365开发入门指南》上市说明和读者服务 Microsoft Graph...如果你用Python开发了一个应用程序，希望调用Microsoft Graph来访问Office 365的数据，例如联系人列表，邮件处理，文件分享等。...你可以通过下面的地址得到Microsoft Graph SDK，以及代码范例。 http://aka.ms/pythongraphsamples ?...这里有一个Office Add-in 范例 https://github.com/OfficeDev/Groups-API-Office-Add-in-Python-Sample ?...Python for Excel 利用xlwings模块，你可以很方便地Python应用程序中操作Excel文件（同时支持xls和xlsx），也可以在Excel中直接调用Python的脚本（通过RunPython

2.3K2 0

PG通过表访问方法API如何执行顺序扫描

PG通过表访问方法API如何执行顺序扫描引言 PG中有很多方法检索数据并返回给用户。依赖于用户的SQL语句，查询计划模块生成最有方法以检索请求的数据。...顺序扫描是用户请求大量数据时或者当表没有索引时使用的一种检索方法（例如select * from tablename；）；顺序扫描方法由表的表访问方法APIchuli,heap表访问方法时当前版本中默认的方法...本文中，将会介绍表访问方法API如何进行顺序扫描。 PG中表访问方法APIs PG12中引入了可拔插表访问方法，允许开发者重定义存储/检索表数据的方法。这个API包含42个函数。...通过rel和forkNumber，返回对于文件的大学。默认heap表访问方法会调用存储管理器smgr，计算出对于表文件的页数，然后成语每个页大小BLCKSZ默认8KB。...此时执行器已经通过顺序扫描方法获取了所有元组信息。准备返回的数据现在执行器通过表访问方法扫描了所有元组，需要进入过滤流程决定哪些元组符合返回的条件（例如使用WHERE限制扫描结果）。

1.8K1 0

微服务API通过ip可访问，域名不可访问问题分析

摘要经常会有同学遇到api通过ip可以访问，但是通过域名却不可以访问。本篇文章总结了造成这种情况可能的原因。因为与具体技术的选型、规则配置有关，所以没有深入讨论，只是列出可能性，仅供参考。...PUT 请求，但是请求了GET方法概览通过域名访问，在整个后端的访问路径如下图，大致分四个部分，浏览器、负载均衡层、网关层、服务层。...这样服务里面的某个api prefix不符合该服务定义的前缀规则，则匹配不上（当然一般的网关路由会做降级，前缀不符，就降级为遍历）这个可以通过访问网关的ip/uri来找出问题。...这些api是不可以直接通过域名访问的。这些都可以通过访问网关的依赖，或者网关ip/uri来找出问题。 Nginx Nginx里可以配置各种redirect规则，过滤规则。...当通过网关ip可以访问api时，那多半是nginx的问题。可以检查nginx的配置问题，来定位问题。

3.7K1 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...Sign、DocuSign或SharePoint协作工具，向目标用户发送“文档待签署”或“需重新授权访问”通知。...一旦同意，攻击者即获得授权码，兑换为访问令牌（access token）与长期有效的刷新令牌，从而无需再次触发MFA即可持续访问用户邮箱与文件。...；应用使用令牌调用Microsoft Graph API。...可通过Microsoft Graph API动态评估权限风险：HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All

2371 0

微软为OneDrive和SharePoint带来了自动转录和计算机视觉功能

微软今天宣布计划向使用OneDrive和SharePoint的Microsoft 365客户推出一系列AI服务。今年下半年，用户将能够从所有音频和视频文件中获得自动转录。...当在OneDrive或SharePoint中查看文件时，转录文本将自动显示在文件旁边。如果视频随后通过Stream与同事共享，则还可以部署面部识别以区分视频或视频会议中的参与者。...即将推出的还有OneDrive或SharePoint文件搜索的计算机视觉。搜索结果将包括图像的文本或对象标识，以及根据拍摄照片的位置查找图像的功能。...文字记录服务意味着你也可以根据音频或视频文件中记录的对话来搜索和定位文件。之后几个月，微软还将为OneDrive和Office.com主页引入新的文件查看选项，该主页根据你的需要推荐文件。...根据今天发布的消息，“建议的文件基于Microsoft Graph的智能及它对你的工作方式、与你合作的人以及与你共享Microsoft 365内容活动的理解。”

9693 0

Eikon平台通过定制 API，可访问加密货币实时汇率

追踪六种加密货币现在，人们已经可以在汤森路透的 Eikon 平台上通过定制 API 接口访问新的加密货币实时汇率。...参与了该项目的日本大型加密货币交易所 Bitflyer 的首席执行官兼联合创始人加納裕三说道：“我们很高兴能够通过汤森路透向全球的客户提供有价值的数据。”

2K4 0

通过SQLNET.ora文件限制Ip地址访问

链接：http://www.eygle.com/archives/2008/01/sqlnetora_ip_limit.html ---- 在Oracle数据库中，我们可以通过SQLNET.ora文件实现地址访问限制...在SQLNET.ora文件中设置以下参数可以实现IP访问限制： tcp.validnode_checking=yes tcp.invited_nodes=(ip1,ip2......) ...在未设置这些参数前，测试数据库可以正常访问： D:/>tnsping eygle TNS Ping Utility for 32-bit Windows: Version 10.2.0.3.0 -...已使用的参数文件，: C:/oracle/10.2.0/network/admin/sqlnet.ora 已使用 TNSNAMES 适配器来解析别名 Attempting to contact (DESCRIPTION...通过监听器的限制，通常属于轻量级，比在数据库内部通过触发器进行限制效率要高。

1.9K3 0

如何通过命令行访问unix socket文件

socket为什么不能用传统命令访问？ socket文件不能通过普通的文件读写命令操作（比如说echo "xxx" > socket.file）它。因为它是在网络上面工作的。...只能通过socket读写函数去操作它。 socat和ncat命令其实通过的linux命令socat和ncat可以去操作socket。...其中-U指定了该文件是Unix域socket文件类型，ncat实现了类似于cat命令的访问unix socket。...ncat -U /tmp/tbsocket1 ncat也可以通过映射socket文件到监听的端口上。那么通过curl可以发送请求到该监听端口，实现写操作。...# 映射tcp的8080流量到unix socket ncat -vlk 8080 -c 'ncat -U /tmp/tbsocket1' # 通过curl发起http请求访问 curl http

11.2K27 0

通过C模块中的Python API访问数组的数组

在 C 语言中，我们可以使用 Python 的 C API 来访问和操作数组的数组（即二维数组或嵌套列表）。...通常，我们可以使用 Python C API 提供的 PyListObject 和 PySequence 相关函数来访问 Python 传递过来的列表结构。...我们需要通过 C 模块中的 Python API 访问此数组的每个子数组。...以下是一个代码示例：# C 代码# 包含 NumPy 头文件# conda install numpy# pip install numpy# apt-get install python3-numpy...object)A[0,0] = np.random.rand(3,3)A[0,1] = np.random.rand(5,5)# 将数组的数组传递给 C 模块geoms.gm_unique_all(A) 通过这种方式

1.6K1 0

Windows Community Toolkit 3.0 新功能

提供新的包用来写 runtime API 的检查提供 Microsoft Graph 控件现有的大量控件对所有控件支持亮主题和暗主题性能提升和修改bug 新的支持...因为 UWP 开发需要指定最低平台，而且对不同的平台可以不同的 API ，以前只能通过看文档才知道现在有哪些API是可以使用的，现在可以安装Microsoft.Toolkit.Uwp.PlatformSpecificAnalyzer...Microsoft Graph 控件支持 Microsoft Graph 控件，可以快速在 Xaml 使用 Microsoft Graph 控件。...同时 AadLogin 支持通过 Microsoft Graph 服务器使用Azure Active Directory (AAD) 登陆。 ?...SharePointFileList 让用户可以在点击文件夹或文件时快速预览 SharePoint 文件 ?

2K1 0

【漏洞通告】微软9月安全更新多个产品高危漏洞通告

攻击者可通过诱导用户打开特制图像文件来利用此漏洞，成功利用此漏洞的攻击者可获取信息从而进一步入侵受影响的系统。...攻击者通过构造特制的文件并诱使用户打开来利用此漏洞，成功利用此漏洞的攻击者可控制受影响的系统。...攻击者可通过诱导用户打开特制文件或诱导用户访问具有恶意JavaScript的网站来利用此漏洞，成功利用此漏洞的攻击者可在受影响的系统上执行任意代码。...攻击者可通过诱导用户打开特殊设计的恶意网站，如点击电子邮件或即时消息中的链接来利用此漏洞，攻击者还可通过向用户发送特制文档文件并诱导用户打开来利用此漏洞，成功利用此漏洞的攻击者可在目标系统上以当前用户权限执行任意代码...攻击者可通过使用特定格式的输入访问受影响版本SharePoint 上易受攻击的 API来利用此漏洞，成功利用此漏洞的攻击者可在目标 SharePoint应用程序池和SharePoint服务器账户的上下文中执行任意代码

2.5K2 0

SharePoint 2013创建WCF REST Service

SharePoint 2013为开发者提供了丰富的REST API，方便了我们在客户端操作List中的数据。...当然我们也可以在SharePoint 2013中创建自定义的REST Service，比如通过REST Service去操作数据库。...2013中能访问的服务（.svc）存在：C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi 文件夹中...3.把WCF Service Application的svc拖到 ISAPI文件夹中，如下所示： ? 4.修改Namespace，并添加程序集引用，如下所示： ?...小结 SharePoint 2013的REST API 十分强大，有时间再分享SharePoint 2013 REST API方面的知识。

1.5K5 0

点击加载更多

如何通过BDC反序列化在Microsoft SharePoint上执行任意代码

OpenAI推出企业级SharePoint连接器，挑战Microsoft 365 Copilot

基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

Linux通过samba访问windows文件

Microsoft Teams 全球大瘫痪。。。

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

陈希章（O365开发指南）：Python在Office 365 开发中的应用

PG通过表访问方法API如何执行顺序扫描

微服务API通过ip可访问，域名不可访问问题分析

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

微软为OneDrive和SharePoint带来了自动转录和计算机视觉功能

Eikon平台通过定制 API，可访问加密货币实时汇率

通过SQLNET.ora文件限制Ip地址访问

如何通过命令行访问unix socket文件

通过C模块中的Python API访问数组的数组

Windows Community Toolkit 3.0 新功能

推荐一个企业级知识图谱增强的检索增强生成(RAG)的项目

【漏洞通告】微软9月安全更新多个产品高危漏洞通告

SharePoint 2013创建WCF REST Service

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐