MS Graph API是否支持身份保护策略？ - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

此类链接初期指向微软官方域名（如1drv.ms、sharepoint.com），通过SPF/DKIM验证，有效绕过传统邮件安全网关的外部域名过滤策略；随后，页面内嵌按钮或评论区中的二次跳转链接将用户导向仿冒登录门户...其内置的文件共享功能支持通过短链接（如1drv.ms）快速分发文档，并自动继承组织的邮件安全策略（如SPF、DKIM签名），使得来自内部账户的共享通知天然具备高可信度。...一旦得手，攻击者可立即利用Graph API遍历收件箱，提取包含财务、合同、人事等关键词的邮件线程，自动生成极具欺骗性的横向钓鱼内容，形成指数级扩散。面对此类攻击，仅依赖邮件层防护已显不足。...以下为通过Microsoft Graph API创建条件访问策略的示例：policy = {"displayName": "Block risky logins to SharePoint","state...会话的User-Agent、IP、地理位置是否与共享创建者一致？通过构建会话图谱（Session Graph），将文件访问、登录、API调用等事件关联，可有效识别异常跳转链。

3051 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

受害者通常会收到来自看似内部IT部门、微软支持团队，甚至是合作方的邮件或 Teams 消息，内容大同小异：“检测到您的账户存在异常活动，请立即完成设备验证以防止服务中断。”..."❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近10封邮件...管理员应评估是否真的需要此功能（如无 IoT 设备集成需求），若否，则全局禁用。...实施严格的 OAuth 应用审批策略启用“用户无法注册应用”策略，并要求所有第三方应用必须经 IT 部门审批。...设备代码钓鱼的流行，暴露出一个深层矛盾：现代身份协议在追求用户体验的同时，是否牺牲了安全可见性？OAuth 的设计哲学是“委托授权”，但普通用户并不理解“授权”与“登录”的区别。

2811 0

您找到你想要的搜索结果了吗？

是的

没有找到

VoidProxy平台对多因素认证的绕过机制与防御对策研究

（三）地理与用户代理（UA）伪装为规避基于设备指纹与地理位置的条件访问策略，VoidProxy支持动态设置代理出口IP（通过住宅代理网络如Bright Data或IPRoyal），并模仿目标用户的典型UA...四、纵深防御体系构建为有效抵御VoidProxy类攻击，需从身份验证、会话管理与终端安全三个层面重构防御策略。...（三）浏览器内令牌绑定（DPoP）推动SaaS供应商支持OAuth 2.0 DPoP规范。DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌，该私钥与TLS连接绑定。...指标包括：登录IP是否在历史地理围栏外；User-Agent是否与设备注册信息一致；是否在短时间内访问大量敏感资源（如/me/drive/root:/Board/）。...身份安全的本质并非“一次认证，长期信任”，而是“持续验证，动态授权”。对于承载核心业务与战略资产的企业而言，必须将防御重心从凭证保护转向会话完整性保障。

2381 0

钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究

重点探讨基于FIDO2/WebAuthn的设备绑定认证、会话持续风险评估、高敏操作二次验证等缓解策略的有效性。...由于整个认证过程在微软服务器上真实发生，MFA完全生效，但其保护对象是攻击者的代理，而非最终用户。因此，MFA在此场景下形同虚设。...3 现有MFA机制的脆弱性分析3.1 常见MFA类型及其局限MFA类型是否可被AitM绕过原因短信/语音OTP 是 OTP在认证时被代理提交TOTP（如Google Authenticator）是...以下Python脚本模拟检测异常会话（基于Microsoft Graph API）：import requestsfrom datetime import datetime, timedeltaGRAPH_API_TOKEN...$filter=userPrincipalName eq '{user_id}'&$top=10"headers = {"Authorization": f"Bearer {GRAPH_API_TOKEN

2841 0

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

Graph API 的代码示例，验证防御措施的可行性。...一旦获得权限，攻击者可通过 Microsoft Graph API 发送邀请。...由于整个流程使用合法 API 且经身份验证，邮件完全合规。...API 查询示例：GET https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?...此外，通过 Graph API 监控，我们能在 5 分钟内检测到异常邀请模式并自动响应。6 讨论本攻击揭示了现代 IAM 系统的一个根本矛盾：便利性与安全性之间的张力。

1650 0

你打出去的“客服电话”，正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板，回拨型攻击席卷全球企业

“这是微软安全中心工单#MS-2026-XXXX，请提供您的计算机名以便接入。”...五、中国镜像：国内企业是否安全？尽管报道聚焦欧美，但芦笛强调：“回拨型钓鱼已在中国出现变种，且更具本土化特征。”...邮件层：增强Teams通知监控限制Teams外部邀请：在Microsoft 365管理中心配置策略，禁止非组织成员创建团队或邀请用户；监控异常团队命名：通过Microsoft Graph API定期扫描团队名称...，识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体；# 示例：通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups...在数字化转型浪潮中，真正的安全防线不在代码或策略，而在每个员工拿起电话前的那一秒犹豫。“当你接到‘紧急技术支持’电话时，请记住：真正的安全团队，永远不会让你先运行一个.exe文件。”

1891 0

📖《数字人开发手册：从建模到情感交互全链路》

部署篇云端工程化实践混合云调度算法四层灰度发布体系 TKE容器服务CLS智能日志分析伦理篇合规与可持续发展文化感知自适应系统联邦学习隐私保护方案...实时数据传输 AI视觉 5mm ¥0.5万移动端交互 TI-ONE训练优化模型实测案例：某直播公司采用华为摄像头+腾讯云TI-ONE微调模型方案：表情捕捉准确率提升至92%单帧处理耗时ms...undefined▸ 腾讯云TI-ASR定向增强undefined▸ 麦克风阵列拓扑优化技术演进思考从某车企数字销售员项目获得的启示：跨模态对齐难题undefined→ 语音/表情/手势存在50-200ms...云端大规模落地的工程实践云端架构设计对比架构类型优势适用场景腾讯云核心组件全云端弹性伸缩能力强高并发直播场景ECS+CLB+CDN 边缘-云协同延迟ms...技术中性悖论undefined→ 发现：相同算法在不同文化场景接受度差异达300%undefined→ 方案：建立文化感知自适应系统数字人权演进undefined→ 前沿问题：数字人"遗产"继承机制跨平台数字身份互认协议

6862 0

MCP 与长期记忆系统结合

文章重点讲解了 MCP 的记忆管理 API、增量记忆更新策略、上下文增强检索算法等关键技术，并通过实际代码示例展示如何构建具备长期记忆的 MCP Agent。...更新字段: ['content.text', 'content.metadata.aqi'] 是否重新生成嵌入: True 更新耗时: 125ms 这个示例展示了 MCP 增量记忆更新的使用，更新器检测到了新旧记忆的差异...：身份认证：使用 OAuth 2.0、JWT 等机制进行身份认证授权访问：基于角色的访问控制（RBAC），实现细粒度的权限管理数据加密：对记忆数据进行加密存储和传输完整性验证：使用哈希算法验证记忆数据的完整性...3,000 QPS +316.7% 记忆更新效率 150ms 500ms -70% 开发效率高（标准化 API）低（自定义开发） +150% 维护成本低（统一接口）高（多系统维护） -60%...实施严格的隐私保护：采用数据脱敏、加密存储等措施，保护敏感信息优化记忆管理策略：实施记忆过期、遗忘机制，避免记忆过载加强安全防护：采用零信任架构，加强认证、授权和监控完善监控和日志系统：部署全面的监控和日志系统

1811 0

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

研究结合实际攻击样本、日志分析逻辑与安全策略配置，旨在为组织在身份安全、终端防护与人员意识三个维度提供可落地的技术对策。...搜索并下载敏感文档：利用Graph API遍历OneDrive与SharePoint中的文件夹，下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...以下Python脚本利用Microsoft Graph API实现授权审计：import requestsdef audit_oauth_apps(user_token):headers = {"Authorization...其中，高管不应被视为“高权限用户”，而应被定义为“高风险身份主体”，适用更严格的访问控制与监控策略。...本文通过解构攻击链、评估防御缺口并提出可实施的缓解措施，强调了在身份安全领域“默认不信任、持续验证”的必要性。对于C级高管这一特殊群体，安全策略必须超越通用最佳实践，走向精细化、场景化与自动化。

2251 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

（如Microsoft Graph API）。...二者均提供图形化面板，支持一键部署钓鱼页面、自动注册恶意OAuth应用、实时捕获授权码与令牌。其核心创新在于对OAuth协议细节的精准利用。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...以下Python脚本利用Microsoft Graph API实现自动化审计：import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps...通过精细化的授权策略、持续的资产清点与自动化响应，组织可在享受OAuth便利性的同时，遏制攻击者利用其“合法外衣”进行持久化渗透。本文所提框架已在多个企业环境中验证，可作为云身份安全治理的参考基线。

2821 0

一封“来自自己邮箱”的钓鱼邮件，如何绕过所有安全防线？微软揭示企业邮件配置盲区正成攻击温床

更隐蔽的是，邮件头部还包含：X-MS-Exchange-Organization-InternalOrgSender: TrueX-MS-Exchange-Organization-MessageDirectionality...企业需构建端到端的邮件身份验证闭环。第一步：全面绘制邮件流拓扑图列出所有邮件入口与出口路径，包括：外部MX记录指向何处？是否有第三方服务（反垃圾、归档、CRM）参与中继？...内部应用是否通过API或SMTP直连发送通知？第二步：强制实施DMARC p=rejectDMARC策略应分阶段收紧：; 初期：仅收集报告_dmarc.finfirn.com....第三步：确保中继服务“透明传递”认证结果若使用第三方网关，必须满足：网关IP被列入SPF记录（via include 或 ip4/ip6）网关支持“Authentication-Results”头传递，...API或经认证的SMTP中继。

1501 0

伪装成“熟人”的邮件，藏着国家级黑客的陷阱——Callisto组织鱼叉式钓鱼新动向敲响全球媒体安全警钟

该组织自2017年起，以高度精准的鱼叉式钓鱼（Spear Phishing）为主要攻击手段，目标锁定政府机构、人权组织、智库及支持乌克兰的非政府实体。...尽管俄方从未承认，但多方证据链已将其定位为“国家支持型APT”。此次针对RSF的攻击，正是其战术演进的典型样本。...例如，可通过邮件元数据分析发件IP是否与历史通信模式一致，或结合组织通讯图谱判断该联系人是否真有业务往来。...等关键令牌；使用这些令牌通过Graph API直接操作用户数据。...一位不愿具名的RSF安全顾问表示，“当我们保护邮箱，实际上是在保护那些敢于说出真相的人。”

2501 0

深度学习模型压缩与优化加速（Model Compression and Acceleration Overview）

），需要考虑是否有完善的生态支持，例如NVIDIA的CUDA，或者Xilinx的xDNN：此外，从模型优化与系统优化的角度分析，领域算法建模与模型压缩通常紧密相关；推理优化手段的选择，通常也与基础设施或硬件平台相关联...，可以采用TensorRT API重建网络结构，并间接实现推理优化；手工/自动分图：若训练的网络模型包含TensorRT不支持的Op：手工分图：将深度网络手工划分为两个部分，一部分包含的操作都是TensorRT...另一部分可采用其他框架实现，如MXnet或PyTorch，并建议使用C++ API实现，以确保更高效的Runtime执行； Custom Plugin：不支持的Op可通过Plugin API实现自定义，...，提升模型优化的支持效率；并降低用户使用TensorRT的门槛，自动完成计算图转换与优化tuning；对于不支持的Op或Sub-graph，采用Libtorch作为Runtime兜底（参考NVIDIA官方提供的优化加速工具...，如Deep Compression [5], Sparse-Winograd [6] 算法等；结构剪枝：是filter级或layer级、粗粒度的剪枝方法，精度相对较低，但剪枝策略更为有效，不需要特定算法库或硬件平台的支持

2.6K1 0

📌《微服务拆分十大陷阱：三年血泪换来的经验》

真实案例：某社交平台将用户服务拆分为：用户基础信息服务用户权限服务用户行为日志服务undefined结果：跨服务查询需串联3次API调用，响应时间从50ms飙升至300ms。...架构对比实验（实测数据）：场景传统微服务服务网格方案请求延迟（p99）82ms 117ms 配置复杂度中（YAML文件）高（CRD+...人才稀缺小范围试点+培训落地原则：graph LR A[业务需求] --> B{是否影响核心链路?}...安全加固路线图：graph TD A[服务身份认证] --> B[mTLS双向证书] A --> C[JWT令牌校验] B --> D[自动证书轮换] C --> E[权限动态回收] F[网络策略...5部门会签新功能上线速度下降70% 组织变革四象限：团队拓扑重组方案业务特征团队结构协作模式高频迭代产品全功能产品小队嵌入式SRE支持

3791 0

安全的未来是上下文

端点保护平台 (EPP) ：EPP的发展早已超越了传统的基于签名的白名单和黑名单方法，正在使用公开情报和社区声誉，来确定给定的可执行代码是否足够可信。...数据保护：为了在整个数据生命周期和整个企业IT生态系统中充分保护敏感信息，策略执行点变得更加内容感知和身份感知，支持根据操作时确定的数据分级分类而动态应用策略。...我们必须抛弃幻想的绝对信任（实际上我们从未真正拥有过这种信任），将转向一种信任度量的范式，即上下文感知的安全策略执行机制——它可帮助我们回答真正的问题：“我是否对相关实体有足够的信任，可以在我目前的风险承受能力水平和上下文中...例如，身份级别和应用程序级别的信息，可以为网络级别的防火墙决策提供额外的上下文。内容级信息可以为决定是否允许通过电子邮件发送文档提供额外的上下文。...大型客户的最佳策略应该修正为：客户本地化安全建设+厂商云化安全服务（如图13所示）。安全的未来是安全云。安全是要花钱的。我们不能平等地保护一切，我们所保护的一切也不是同等价值。

1.1K3 0

AutoML逆袭：普通开发者如何玩转大模型调参

当调参成为技术壁垒你是否曾因GPU成本高昂而放弃模型优化？是否在超参数海洋里迷失方向？...知识依赖需深度学习专家自动化策略生成试错成本参数组合易遗漏智能空间探索以电商推荐场景为例，某团队使用AutoML后： graph...E(One-Click Deployment) E --> F[API Service] 腾讯云TI-ONE实战全流程1....持续学习引擎数据漂流检测：每周自动运行特征稳定性分析模型迭代策略：A/B测试优胜模型自动上线故障自愈机制：API错误率>5%触发滚动回滚工业级效果验证某智慧城市交通流量预测项目对比：评估维度传统方式...-> E[欧盟GDPR合规模型] D --> F[亚太实时推理集群] 文化适配性调优方案地域特性模型调优重点腾讯云TI-ONE特殊配置北美市场隐私保护强化

4081 0

听GPT 讲K8s源代码--plugin

它维护了请求的历史记录和相应的限制策略，以判断当前请求是否符合限制条件。 lruCache结构体：继承自cache结构体，用于管理请求的最近操作记录。...该函数接受一个参数 tokenAllower，是一个函数类型，用于判断 token 是否允许通过身份验证。...该函数先调用 tokenAllower 判断 token 是否允许通过身份验证，如果允许则返回对应的 UserInfo 实例，否则返回一个 AuthenticationError。...同时，在鉴权过程中，可以通过 tokenAllower 函数自定义判断 token 是否允许通过身份验证的逻辑。...ControllerRoles: 这个函数返回一个角色列表，包含了控制器支持的所有角色。

7323 0

基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

尤其在Microsoft 365生态中，一旦攻击者获得有效会话Cookie或OAuth 2.0访问令牌，即可直接调用Graph API访问邮件、日历、文件甚至执行管理员操作，而无需再次触发MFA。...对于即将失效的会话，系统支持“一键发起内部钓鱼”：自动以受害者身份向其联系人发送定制化钓鱼邮件（如“请审阅这份合同”），利用组织内部信任关系扩大攻击面。...Microsoft虽支持设备合规性检查，但默认未强制启用，且对非托管设备（如个人手机）覆盖有限。3.3 会话有效期过长Microsoft 365默认会话有效期可达数小时甚至数天（取决于策略）。...中间人代理攻击通过劫持认证后的合法会话，绕过了MFA在时间维度上的保护作用，暴露出当前身份验证体系在会话绑定与上下文感知方面的不足。...防御此类威胁，不能依赖用户警惕性或静态策略，而需依托Microsoft 365生态提供的现代身份能力——包括连续访问评估、条件访问、客户端证明与FIDO2无密码认证——构建动态、自适应的零信任架构。

2031 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

在此基础上，提出一套覆盖身份治理、条件访问、应用审计与用户教育的纵深防御体系，并给出关键策略配置与监控代码示例。...关键词：OAuth 同意滥用；假冒微软应用；Entra ID；多因素认证绕过；Graph API；条件访问1 引言多因素认证（MFA）作为现代身份安全的核心防线，已在绝大多数企业环境中广泛部署。...系统基于以下维度评估：应用是否新注册；请求权限是否异常；开发者域名是否可疑；是否请求offline_access。高风险应用自动标记并告警。...4.6 Graph API 异常行为监控部署KQL查询，检测异常API调用模式：// 检测单应用大量邮件读取AuditLogs| where OperationName == "Consent to application...所提出的纵深防御体系，从策略控制、实时拦截、事后审计到行为监控，形成了闭环防护。实践表明，仅靠技术手段不足，必须结合身份治理流程与用户认知提升，方能有效应对这一“合法外衣下的非法访问”。

2381 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

然而，近期多起安全事件表明，攻击者正通过滥用Microsoft Entra ID（原Azure AD）的OAuth 2.0授权框架，绕过MFA保护，直接获取对Microsoft 365账户的持久化访问权限...针对此威胁，本文提出一套涵盖身份治理、行为监控与自动化响应的纵深防御框架，并提供可部署的PowerShell审计脚本、YARA规则及条件访问策略配置示例。...关键词：OAuth 2.0；MFA绕过；Microsoft Entra ID；钓鱼攻击；身份安全；API权限；条件访问；第三方应用治理1 引言随着云办公的普及，Microsoft 365已成为全球企业数字基础设施的核心组成部分...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...技术上，需通过策略限制、行为监控与自动化响应降低暴露面；管理上，需提升用户对权限授权的认知水平。唯有将身份治理纳入整体安全架构，方能在云时代有效抵御此类高级钓鱼威胁。

2501 0

点击加载更多

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

VoidProxy平台对多因素认证的绕过机制与防御对策研究

钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

你打出去的“客服电话”，正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板，回拨型攻击席卷全球企业

📖《数字人开发手册：从建模到情感交互全链路》

MCP 与长期记忆系统结合

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

高级OAuth钓鱼攻击的演化机制与防御体系构建

一封“来自自己邮箱”的钓鱼邮件，如何绕过所有安全防线？微软揭示企业邮件配置盲区正成攻击温床

伪装成“熟人”的邮件，藏着国家级黑客的陷阱——Callisto组织鱼叉式钓鱼新动向敲响全球媒体安全警钟

深度学习模型压缩与优化加速（Model Compression and Acceleration Overview）

📌《微服务拆分十大陷阱：三年血泪换来的经验》

安全的未来是上下文

AutoML逆袭：普通开发者如何玩转大模型调参

听GPT 讲K8s源代码--plugin

基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐