401尝试使用获取的访问令牌调用office 365 API时未经授权 - 腾讯云开发者社区

文章/答案/技术大牛

发布

PwnAuth——一个可以揭露OAuth滥用的利器

范围范围定义为第三方应用程序请求的访问类型。大多数API资源将定义应用程序可以请求的一组范围。这与Android手机应用程序在安装时请求的权限类似。...访问令牌可以在设定的时间段内使用，从API资源访问用户的数据，而无需资源所有者采取任何进一步的行动。...攻击者可能会创建恶意应用程序，并使用获取的访问令牌通过API资源获取受害者的帐户数据。访问令牌不需要知道用户的密码，并能绕过双因素认证。...虽然任何允许OAuth应用程序的云环境都可以成为目标，但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序，捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API...目前有一个脚本可以调查Office 365占用者并计划添加其他云环境。六、总结 OAuth滥用攻击是一种危险且非传统的网络钓鱼技术，攻击者可利用此技术获取企业的机密数据。

2.5K2 0

从0开始构建一个Oauth2Server服务资源服务器

令牌内省端点仅供内部使用，因此您需要使用一些内部授权来保护它，或者只在系统防火墙内的服务器上启用它。验证范围 scope 资源服务器需要知道与访问令牌关联的范围列表。...过期令牌如果您的服务使用短期访问令牌和长期刷新令牌，那么您需要确保在应用程序使用过期令牌发出请求时返回正确的错误响应。...，他们应该尝试使用他们的刷新令牌获取一个新的访问令牌。...错误代码和未经授权的访问如果访问令牌不允许访问所请求的资源，或者如果请求中没有访问令牌，则服务器必须使用 HTTP 401 响应进行回复，并在响应中包含一个标头WWW-Authenticate。...invalid_token(HTTP 401) – 访问令牌已过期、撤销、格式错误或由于其他原因无效。客户端可以获取新的访问令牌并重试。

1.4K3 0

您找到你想要的搜索结果了吗？

是的

没有找到

基于云原生信任机制的钓鱼攻击机理与防御体系研究

攻击者正是利用了这种技术合法性与社会工程学诱导之间的认知落差，诱导用户点击邮件中的链接，进入高仿真的钓鱼页面或恶意的OAuth授权同意屏，从而窃取凭证或获取持久化的API访问权限。...为了增加可信度，攻击者可能会使用与知名品牌相似的名称、Logo，甚至尝试通过Google的验证流程（尽管对于外部应用较难，但针对内部开发或未经严格审核的应用，Google允许发布“测试版”或“未验证”应用...(token_json_path, SCOPES)# 如果令牌无效或过期，尝试使用刷新令牌刷新（攻击者可持续访问）if not creds or not creds.valid:if creds and...一旦攻击者通过前期的钓鱼手段（如伪造的登录页）获取了token.json文件，即可无限次地调用API创建任务。每次调用都会触发Google官方发送邮件通知，且邮件内容完全由攻击者控制。...此外，定期开展模拟钓鱼演练，专门使用Google Tasks通知、Office 365共享邀请等真实云场景作为诱饵，检验员工的识别能力与响应流程，并根据演练结果不断优化培训策略。

1591 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

然而，近期多起安全事件表明，攻击者正通过滥用Microsoft Entra ID（原Azure AD）的OAuth 2.0授权框架，绕过MFA保护，直接获取对Microsoft 365账户的持久化访问权限...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...典型伪装策略包括：应用名称模仿官方工具：如“Microsoft Secure Access”、“Entra Verify Tool”；使用微软品牌图标：上传与Office 365相似的SVG或PNG图标...3.3 令牌获取与持久化访问用户点击“同意”后，Microsoft将授权码发送至redirect_uri。...攻击者使用refresh_token定期换取新access_token，实现长期潜伏。所有API调用均来自微软合法IP，难以被网络层检测。

2731 0

Office开发者计划-永久白嫖Office365

安装并激活Microsoft365 方式1：可点击上述仪表盘中的转到订阅，随后使用刚刚生成的管理员账号登录，进入页面则可下载需要的内容方式2：使用Office Tool Plus...，完成注册之后通过验证则激活成功（后续有关该账号的活动则可通过软件进行授权）自动续订自动续期 Office 365开发者订阅默认是90天有效期，到期须续期才可继续使用，微软会验证账户内是否应用了所提供的相关...API应用、服务等以此来检测开发者身份自动续期的项目有在线类的项目也有本地软件方式，其主要思路为注册Azure应用程序，申请api 授权项目/程序自动调用账号下的应用api ...，之后访问并登陆作者搭建好的网站（使用Github账号），授权其实用你的应用客户端即可。...，可用于生成和测试对 Microsoft Graph API 的请求 API需要的权限设定可在预览卡中查阅，授权后则可再次尝试调用响应 Postman 是一个可用于向 Microsoft

11.4K3 2

9月重点关注这些API漏洞

为了让大家的API更加安全致力于守护数字世界每一次网络调用小阑公司 PortalLab实验室的同事们给大家整理了9月份的一些API安全漏洞报告希望大家查漏补缺及时修复自己API可能出现的漏洞No.1 ...• 配置合适的防火墙规则以阻止未经授权的外部访问Hadoop Yarn集群和REST API接口。...具体来说，通过伪造特定格式的令牌进行请求，在未经授权的情况下访问其他项目或组织的资源。Google Cloud为应用程序提供了30天的宽限期，在应用程序被计划删除的时间起到永久删除之前。...小阑建议• 更新SDK和依赖项：确保使用的谷歌云SDK和相关依赖项是最新版本，以获取对已知漏洞的修复。• 密钥和凭据管理：审查和管理项目中的API密钥和凭证，确保合理的授权和访问控制策略。...漏洞危害：攻击者可以利用该漏洞绕过认证机制，未经授权地访问JumpServer管理系统，并获取到敏感信息或执行未经授权的操作，如远程访问服务器、执行命令、篡改系统配置等。

1.3K1 0

5个REST API安全准则

cookie或内容参数发送，以确保特权集合或操作得到正确保护，防止未经授权的使用。...现实情况是，任何人都可以调用您的Web服务，所以假设每秒执行上百次失败的输入验证的人是没有好处的。考虑将API限制为每小时或每天一定数量的请求，以防止滥用。...401未授权 -错误或没有提供任何authencation ID /密码。 403禁止 -当身份验证成功，但身份验证的用户没有权限使用请求的资源。 404未找到 -当请求一个不存在的资源。...429太多的请求 -可能存在的DOS攻击检测或由于速率限制的请求被拒绝（1）401和403 401“未授权”的真正含义未经身份验证的，“需要有效凭据才能作出回应。”...403“禁止”的真正含义未经授权，“我明白您的凭据，但很抱歉，你是不允许的！” 概要在这篇文章中，介绍了5个RESTful API安全问题和如何解决这些问题的指南。

5.1K1 0

Ollama未授权访问漏洞Nginx反向代理解决方案

在此漏洞下，未经授权的攻击者能够远程访问Ollama服务接口，进而执行诸如敏感资产获取、虚假信息投喂、拒绝服务等恶意操作。CNVD已建议受影响的单位和用户尽快采取措施防范该漏洞攻击风险。...为了保障Ollama服务的安全性，本文提出使用Nginx作为反向代理，并通过设置认证头信息的方式防止未授权访问。...二、解决思路为有效解决Ollama未授权访问问题，确保其远程调用的安全性，本文利用Nginx反向代理并结合认证头信息进行验证。...验证认证效果未添加请求头访问：在未添加请求头的情况下直接访问Ollama服务，将会出现401错误页，表明认证失败。添加认证请求头访问：添加正确的认证请求头后，则可以正常调用Ollama服务。4....本文以认证头为例，给出了解决Ollama未授权访问问题的思路以及详细的实际配置文件。通过Nginx反向代理为Ollama WEB API服务设置认证头信息，能够有效防止未授权访问。

1.3K1 0

构建Vue项目-身份验证

通常，在开始使用新框架或新语言工作时，我会尝试查找尽可能多的最佳实践，而我更喜欢从一个易于理解，维护和升级的良好结构开始。...登录授权之后，将重定向到他们登录之前尝试访问的页面。对于登录视图，它仅在用户未登录时才可访问，因此我们添加了一个名为onlyWhenLoggedOut的元字段，设置为true。...' /** * 管理访问令牌存储和获取，从本地存储中 * * 当前存储实现是使用localStorage....： login - 准备请求并通过API服务从API获取令牌 logout - 从浏览器存储中清除用户资料 refresh token - 从API服务获取刷新令牌如果您注意到了，您会发现那里有一个神秘的...如果是，则我们正在检查401是否在令牌刷新调用本身上发生（我们不想陷入循环中）永久刷新令牌！）。然后，代码将刷新令牌并重试失败的请求，并将响应返回给调用方。

8.6K2 0

微软联手Cloudflare重拳出击：RaccoonO365钓鱼基础设施遭协同围剿

其核心目标直指企业员工的Office 365账户。...一旦用户在伪造页面输入账号密码并完成多因素认证（MFA），攻击者便能通过OAuth令牌静默获取邮件、日历、OneDrive乃至Teams权限——整个过程无需窃取密码，绕过传统凭证检测。...微软方面，依托Microsoft Defender for Office 365的威胁情报系统，识别出大量异常OAuth授权请求——这些请求虽来自不同域名，但具有高度一致的TLS指纹（即客户端加密握手特征...例如，页面加载后会立即调用特定参数化的fetch()函数，将用户凭证POST至统一格式的Webhook地址（如https://discord.com/api/webhooks/XXXXX/XXXXX）。...这导致每次连接服务器时，生成的TLS Client Hello指纹高度一致。正常用户使用Chrome、Edge等浏览器访问不同网站时，指纹虽有共性，但不会在数百个新域名上完全重复。2.

2131 0

基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

摘要近年来，针对Microsoft 365（原Office 365）生态系统的网络钓鱼攻击呈现高发态势，传统依赖邮件网关与服务器端策略的防护手段已难以应对通过短信、社交媒体、语音通话等非邮件渠道传播的恶意链接...一旦授权，攻击者即可通过合法API令牌访问用户邮箱、日历等资源，规避传统邮件监控。这两种攻击均可通过非邮件渠道发起，使得基于邮件内容的过滤器形同虚设。...无法防御高度定制化钓鱼页：若攻击者使用全新域名且页面不含关键词，仅靠内容特征可能不足。无Graph API集成：当前版本不自动撤销会话或令牌，需管理员手动响应。...禁用旧式认证协议：如Basic Auth、IMAP/POP3，防止凭证被直接用于API调用。配置条件访问策略：限制登录地理位置、设备合规性。...与Microsoft Graph API联动：在检测到钓鱼后，自动调用/revokeSignInSessions终结用户所有活动会话。

2541 0

从0开始构建一个Oauth2Server服务发起认证请求

事实上，尝试解码访问令牌是危险的，因为服务器不保证访问令牌将始终保持相同的格式。下次您从该服务获取访问令牌时，完全有可能采用不同的格式。...有关使用刷新令牌获取新访问令牌的更多详细信息，请参见下文。如果您想了解有关登录用户的更多信息，您应该阅读特定服务的 API 文档以了解他们的建议。...有些人喜欢在当前访问令牌到期前不久获得一个新的访问令牌，以保存 API 调用失败的 HTTP 请求。...虽然这是一个非常好的优化，但它不会阻止您仍然需要处理如果访问令牌在预期时间之前过期时 API 调用失败的情况。...最安全的选择是授权服务器在每次使用刷新令牌时发出一个新的刷新令牌。这是最新的安全最佳当前实践中的建议，它使授权服务器能够检测刷新令牌是否被盗。

1.4K3 0

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

研究揭示，此类攻击通过滥用OAuth 2.0设备授权流程，在用户主动授权的掩护下获取长期有效的刷新令牌，从而规避传统基于密码泄露或会话劫持的检测机制。...如https://microsoft.com/devicelogin），输入user_code；授权服务器验证用户身份（通常包括MFA）后，将授权授予客户端；客户端通过轮询使用device_code换取访问令牌...，服务器返回标准OAuth令牌，其中refresh_token可长期使用（默认90天，可配置延长），使攻击者获得持久访问能力。...设置自动化规则，例如：当同一用户在24小时内授权超过2个未列入白名单的应用，且包含Mail.ReadWrite权限时，自动吊销令牌并告警。...可行的折中方案包括：仅对高风险用户组（如高管、财务）禁用；启用“连续访问评估”（Continuous Access Evaluation, CAE），使令牌在检测到风险时实时失效；要求所有设备授权请求必须来自合规设备

2341 0

ConsentFix浮出水面：当“同意”成为攻击入口，你的邮箱早已不是你的邮箱

信息框：OAuth 2.0 授权码模式简析（供技术读者参考）OAuth 2.0 是现代 Web 应用实现第三方登录与 API 访问的核心协议。...更严峻的是，授权一旦授予，持久有效。除非管理员手动撤销，否则即使用户更改密码、登出所有设备，攻击者仍可通过刷新令牌持续获取新访问令牌。微软文档明确指出：密码重置不会使 OAuth 令牌失效。...该扩展申请了“读取和修改所有网站数据”权限，实则监控用户是否访问 Microsoft 365。一旦检测到登录，立即弹出伪造的“安全扫描”窗口，诱导用户粘贴令牌 URL。...早期注册的应用常使用一种称为 “legacy scopes” 的宽泛权限集，例如 Office365ManagementAPI 或 Directory.Read.All。...而这些操作在日志中看起来只是‘正常 API 调用’，难以触发告警。”2.

1491 0

Node.js-具有示例API的基于角色的授权教程

中使用Node.js API实现基于角色的授权/访问控制。...如果没有身份验证令牌，令牌无效或用户不具有“Admin”角色，则返回401未经授权的响应。...如果将角色参数留为空白，则路由将被限制到任何经过身份验证的用户，无论角色如何。在用户控制器中使用它来限制对“获取所有用户”和“按ID获取用户”路由的访问。...sub属性是subject的缩写，是用于在令牌中存储项目id的标准JWT属性。第二个中间件功能根据其角色检查经过身份验证的用户是否有权访问请求的路由。如果验证或授权失败，则返回401未经授权响应。...重要说明：api使用“"secret”属性来签名和验证用于身份验证的JWT令牌，并使用您自己的随机字符串对其进行更新，以确保没有其他人可以生成JWT来获得对应用程序的未授权访问。

7.7K1 0

警惕“授权即沦陷”！Barracuda预警：高级OAuth钓鱼正悄然接管你的企业账号

攻击者不再执着于窃取密码，而是转而“合法”获取访问令牌（Access Token），绕过多因素认证（MFA），实现无痕持久化入侵。...，攻击者可长期潜伏，甚至设置邮件转发规则，悄无声息地窃取情报；即使用户更改密码，只要未撤销授权，攻击者仍能通过刷新令牌继续访问。...同时，定期审查已授权应用列表（路径：Microsoft 365门户 > 账户 > 应用权限），删除不再使用或可疑的“影子应用”。3....即使令牌被盗，也无法在陌生设备上使用。5. 定期吊销可疑刷新令牌通过Microsoft Graph API或安全中心，监控异常令牌活动（如非工作时间、非常用地点），并批量撤销高风险会话。...三步自保即便不是企业员工，普通Office 365用户也应警惕：授权前看清楚：仔细阅读应用请求的权限范围，拒绝“过度索取”；定期清理授权：访问 https://account.microsoft.com

3351 0

SaaS攻击面到底有多大？如何防御常见SaaS攻击技术?

分析结果表明，当涉及到源代码存储库和托管SaaS应用程序的工件时，组织通常使用大约3个不同的提供商（中位数为3.5个）。...OAuth风险因素接下来，研究分析了组织在使用现代SaaS应用程序的复杂网络（通过OAuth授权相互连接）时所面临的风险。...常见的技术愿者上钩式网络钓鱼（Consent Phishing）：攻击者诱骗用户授予恶意应用程序访问敏感数据或功能的权限。凭据填充：使用泄露或被盗的凭据来获得对帐户的未经授权访问。...缓解策略用户培训：教育用户关于SaaS的网络钓鱼风险，以及不要跨服务重用密码的重要性。强大的访问控制：实现严格的权限并使用“最小权限原则”来限制未经授权访问的风险。尝试遵循访问控制的最佳实践。...定期监控：采用实时监控和警报机制，以快速识别和防止未经授权的访问尝试。 3. SaaS环境中的执行策略在该部分中，我们将探讨攻击者用于在受损的SaaS应用程序中执行恶意活动的方法。

8091 0

Nest.js 实战 (八)：基于 JWT 的路由身份认证鉴权

认证流程客户端将首先使用用户名和密码进行身份认证认证成功，服务端会签发一个 JWT 返回给客户端该 JWT 在后续请求的授权头中作为 Bearer Token 发送，以实现身份认证 JWT 认证策略...我们将使用在 API 请求的授权头中提供token的标准方法 jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(),...// 这意味着，如果我们的路由提供了一个过期的 JWT ，请求将被拒绝，并发送 401 未经授权的响应。...Passport 会自动为我们办理 ignoreExpiration: false, // 使用权宜的选项来提供对称的秘密来签署令牌 secretOrKey:...) { // 获取当前 token const token = ExtractJwt.fromAuthHeaderAsBearerToken()(req); // 缺少令牌

1.6K2 0

混淆重定向SVG钓鱼邮件技术分析

当该参数为真时，站点首先显示Cloudflare检查画面，接着是Office 365主题的人机验证/登录步骤；若参数缺失或为false，也许站点不会呈现真正的钓鱼表单。...作者调查发现，这些钓鱼页会预先获取Office 365登录对话框的内容或动画效果，给用户以熟悉的视觉反馈。有的攻击者还将企业的Logo嵌入假登录页以提升可信度。...如果拿到了会话令牌（Cookie），甚至可以绕过密码和MFA直接冒充用户访问账号。这就是所谓的会话Cookie劫持或令牌窃取，即问题中提到的“Cookie篡改”。...利用凭据进入其他服务许多用户往往使用相同密码于不同账户，攻击者可能尝试这些凭据登录用户的其他相关账户（如VPN、公司门户等），造成更大危害。...此外，URL中出现office365cloud=true参数也是不寻常的，可作为潜在钓鱼流量的标记。当检测到外部URL包含此类参数且域名非信任来源时，应重点检查。

1.2K0 0

云攻击增长65%，中国成第二大来源国

云应用程序攻击使用智能驱动的蛮力技术(破解密码)和复杂的钓鱼方法，诱使受害者点击并暴露他们的身份验证凭证，从而侵入包括Microsoft Office 365和谷歌G Suite在内的云应用程序。...强行云应用攻击基于IMAP的密码喷涂攻击是最流行和广泛的技术，用于破坏Microsoft Office 365帐户。...在接受调查的Microsoft Office 365用户中，超过25%的用户遇到过未经本人授权的强行登陆，而超过60%的用户则成为主动攻击的目标。总体而言，2019年第一季度的成功率为44%。...攻击者通常会修改电子邮件转发规则，或者设置电子邮件委托来维护访问权限。他们还将使用引人注目的V**服务来绕过条件访问和基于地理位置的身份验证。...【中国IDC圈编译未经授权禁止转载】 2019年4月1日-5日，由世界卫生组织（WHO）、国际电信联盟（ITU）指导，中国信通院、国家卫健委国际交流与合作中心、上海市经信委、上海申康医院发展中心主办的

6413 0

点击加载更多

PwnAuth——一个可以揭露OAuth滥用的利器

从0开始构建一个Oauth2Server服务资源服务器

基于云原生信任机制的钓鱼攻击机理与防御体系研究

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

Office开发者计划-永久白嫖Office365

9月重点关注这些API漏洞

5个REST API安全准则

Ollama未授权访问漏洞Nginx反向代理解决方案

构建Vue项目-身份验证

微软联手Cloudflare重拳出击：RaccoonO365钓鱼基础设施遭协同围剿

基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

从0开始构建一个Oauth2Server服务发起认证请求

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

ConsentFix浮出水面：当“同意”成为攻击入口，你的邮箱早已不是你的邮箱

Node.js-具有示例API的基于角色的授权教程

警惕“授权即沦陷”！Barracuda预警：高级OAuth钓鱼正悄然接管你的企业账号

SaaS攻击面到底有多大？如何防御常见SaaS攻击技术?

Nest.js 实战 (八)：基于 JWT 的路由身份认证鉴权

混淆重定向SVG钓鱼邮件技术分析

云攻击增长65%，中国成第二大来源国

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐